011-596-6358

対応時間:平日 10:00~17:00

Nginx+OpenSSL CSRファイル作成方法

1. はじめに

Nginx+OpenSSL 環境下での、CSR作成手順を以下に説明します。
大まかな手順は、以下のとおりです。

  1. 必要なソフトウエアの確認
  2. サーバの秘密鍵とCSRの作成
  3. CSRを弊社へお送りいただく
  4. 秘密鍵のバックアップを取る

2. 必要なソフトウエアと入手先

以下のソフトウエアが必要となります。
インストールされていないパッケージがある場合は、以下を参照し、入手してインストールしてください。

名称 機能 入手先
OpenSSL SSLツールキット http://www.openssl.org/
ソースをダウンロードし、コンパイルとインストールを行います。
手順も上記サイトに記載されています。
Nginx Webサーバソフト http://nginx.org/
ソースをダウンロードし、コンパイルとインストールを行います。
手順も上記サイトに記載されています。 configure 時に –with-http_ssl_module を指定します。

3. サーバの秘密鍵とCSRの生成

CSR(証明書署名要求)と秘密鍵を生成します。
CSRはサーバの公開鍵に署名してもらうための申請書です。
CSRを生成するために、サーバの秘密鍵を生成します。
秘密鍵は RSA 2048bit のみ受け付けております。

3.1 ディレクトリの設定

Nginx の設定ファイルのあるディレクトリに移動し、ディレクトリを新たに作成します。
以下に例を示しますが、実際の環境に読み替えてください。

# cd /usr/local/nginx/conf

3.2 CSRと秘密鍵の生成

次のコマンド・ラインで、秘密鍵(YOURSERVER.key)とCSR(YOURSERVER.csr)を同時に生成します。
YOURSERVERは例で、ファイル名は任意に付けることができます。拡張子は記載例に従ってください。

鍵長に 2048bit を指定する:

# openssl req -new -newkey rsa:2048 -nodes -keyout YOURSERVER.key -out YOURSERVER.csr

ここでは、秘密鍵を保護するパスフレーズを付けておりません。サーバ機再起動時などに Nginx をスムースに起動させるためです。ファイルのパーミッションにお気を付けください。セキュリティーに問題を感ぜられる場合には

# openssl rsa -aes128 -in YOURSERVER.key -out YOURSERVER.key.enc

とするとパスフレーズが聞かれ、入力したパスフレーズで暗号化された YOURSERVER.key.enc が生成されます。
YOURSERVER.key の代わりに YOURSERVER.key.enc を利用することもできますが、サーバの起動時にパスフレーズを答えられないと Nginx が起動しません。

3.3 CSR生成情報の入力

ここで、CSR生成に必要な情報を入力します。
入力された情報と証明書申請情報が不一致であったり、入力された情報が不正確な場合、証明書が発行できませんので、十分ご注意ください。

3.3.1 CSR生成情報入力例

以下に、CSR生成情報の入力例を示します。
Country Name (2 letter code) [GB] : JP ←文字国名
State or Province Name (full name) [Bershire] : Tokyo←都道府県
※支店や支社等で申請する場合、支店登記されている支店所在地の都道府県を入力します。


Locality Name (eg, city) [Newbury] : Chiyoda-ku←市区町村
※郡部を含む住所表記(例:北海道中川郡池田町)の場合、
  Ikeda-cho または Nakagawa-gun Ikeda-cho
  区部を含む市(例:大阪府大阪市北区)の場合、
  Osaka または Osaka Kita-ku とご入力ください。
※支店や支社等で申請する場合、支店登記されている支店所在地の市区町村を入力します。


Organization Name (eg, company) [My Company Ltd] : xtrust, Inc.←組織名
※以下のルールに準拠した組織名をお願いたします。
 (1) 登記上の組織名
 (2) 有価証券報告書や定款に記載のある英文表記
 (3) TDBに記載されている表記(日本語または英語)
 (4) WHOIS登録情報
 (5) 英文組織名として該当サイトのWebに掲載があり、登記された組織名を翻訳したものと社会通念上判断されるもの
以上のいずれにも該当しない場合に限り、ローマ字表記(ヘボン式)での申請を受理します。
※組織名に略称の記載をご希望の場合は、Web会社概要等にご掲載ください。ロゴマークなどに記載されている略称は認められませんので、ご注意ください。
※組織名にアポストロフィー( ’)やハイフン(-)を含む場合は、その旨正しく表記してください。
Organizational Unit Name (eg, section) [ ] : Joho System←部署名
※OU(組織の部署名)に申請組織以外の特定の社名や商品名を記載しないでください。
  例)Hosted by xtrust はNGです。
※支店や支社等で申請する場合、支店登記されている支店名や支社名を記載してください。
 例)Osaka-Branch
Common Name (eg, your name or your server’s hostname) [ ] : secure.xtrust.jp←サーバ名
Email Address[ ]:
Please enter the following ‘extra’ attributes to be sent with your certificate request A challenge password [ ]:
An optional company name [ ]:

3.3.2 CSR生成情報に入力する項目

CSR生成情報の入力には、入力項目が規定されています。以下を参照してください。

項目名 意味と入力できる値 入力例
Country Name 国名を示す英字2文字を入力します。
国名に対応した入力文字は、規約で決まっております。
日本の場合JPになります。
JP
State or Province Name 申請組織の本店所在地の都道府県名を入力します。
※支店や支社等で申請する場合、支店登記されている支店所在地の都道府県を入力します。
Tokyo
Locality Name 申請組織の本店所在地の市区町村名を入力します。
※郡部を含む住所表記(例:北海道中川郡池田町)の場合、Ikeda-cho または Nakagawa-gun Ikeda-cho
区部を含む市(例:大阪府大阪市北区)の場合、Osaka または Osaka Kita-ku とご入力ください。
※支店や支社等で申請する場合、支店登記されている支店所在地の市区町村を入力します。
Chiyoda-ku
Organization Name 申請組織の名称を入力します。
※以下のルールに準拠した組織名をお願いたします。
 (1) 登記上の組織名
 (2) 有価証券報告書や定款に記載のある英文表記
 (3) TDBに記載されている表記(日本語または英語)
 (4) WHOIS登録情報
 (5) 英文組織名として該当サイトのWebに掲載があり、登記された組織名を翻訳したものと社会通念上判断されるもの
以上のいずれにも該当しない場合に限り、ローマ字表記(ヘボン式)での申請を受理します。
※組織名に略称の記載をご希望の場合は、Web会社概要等にご掲載ください。ロゴマークなどに記載されている略称は認められませんので、ご注意ください。
※組織名にアポストロフィー( ’)やハイフン(-)を含む場合は、その旨正しく表記してください。
xtrust, Inc.
Organizational Unit Name 申請組織の部署名等を入力します。
※OU(組織の部署名)に申請組織以外の特定の社名や商品名を記載しないでください。
例)Hosted by xtrust はNGです。
※支店や支社等で申請する場合、支店登記されている支店名や支社名を記載してください。
例)Osaka-Branch
Joho System
Common Name 申請するサーバ証明書のコモンネーム(一般名)を入力します。 secure.xtrust.jp

次の項目は空欄で構いません。項目を空欄にするには「.」(ピリオド)を入力してください。
Email Address
A challenge password
An optional company name

3.3.3 CSR生成情報入力に使用できる文字

使用できる文字は以下の通りです。
※Webサーバにより使用制限がある場合もありますので、ご利用のWebサーバドキュメント等をご参照ください。

文字種 使用できる範囲
英字、数字 大文字 A~Z
小文字 a~z
0~9
記号 スペース '(アポストロフィ) -(ハイフン) ,(カンマ)
 =(イコール) \(逆スラッシュ) ()(括弧)
 .(ピリオド) :(コロン)

4. CSRを送付

完成したCSRファイルをテキストエディタで開き、クロストラストのSSLサーバ証明書Webお申込画面の「CSR貼付け」にコピー&ペーストしてください。
以下に、CSRファイルを開いた例を示します。

—–BEGIN CERTIFICATE REQUEST—–
MIIByTCCATICAQAwgYgxCzAJBgNVBAYTAkpQMQ4wDAYDVQQIEwVUb2t5bzETMBEG
A1UEBxMKQ2hpeW9kYS1rdTEaMBgGA1UEChMRQ29tb2RvIEphcGFuIEluYy4xFzAV
:
:
RFi8OQRtKDSGL9mqC4FLk/cAxcNs4X+yzUNp9jn9IldCGEtTg4aRIBFKpWTobwh6
m0jpoMYpQ8DNwO0vpjAGruzQ/ARdw/xaLmQyqaU=
—–END CERTIFICATE REQUEST—–

注: —–BEGIN CERTIFICATE REQUEST—– から
 —–END CERTIFICATE REQUEST—– までをハイフンを含めてWebお申込画面に貼り付けてください。
 1文字でも欠けますと、CSRファイルフォーマットエラーとなり、サーバ証明書のお申込を受付できません。

5. 秘密鍵のバックアップ

サーバ証明書が発行されるまでに、サーバトラブルなどで、秘密鍵が失われてしまう可能性があります。
秘密鍵とサーバ証明書はペアですので、秘密鍵が失われるとサーバ証明書も使用できなくなってしまいます。
これを防止するためにも、秘密鍵ファイルを別の媒体にバックアップしておきます。
バックアップの際には秘密鍵ファイルにパスフレーズを付けておくことをお勧めします。

注:この文書に記載されている情報は予告なしに変更されることがあります。 この文書に記載されている情報に従ってユーザが操作を行い、いかなる損害を被ろうとも、当社は一切の責任を負いません。また、ユーザは自己の責任において使用する事に同意したものとみなされます。