GNU/Linux >> Linux の 問題 >  >> Linux

証明書署名要求を生成します

Secure Socket Layer(SSL)証明書をインストールする前に、まず証明書署名要求(CSR)を生成する必要があります。これを行うには、次のいずれかの方法を使用します。

  • (Linux®サーバー)OpenSSL
  • (Microsoft®Windows®サーバー)インターネットインフォメーションサービス(IIS)マネージャー
  • (クラウドのお客様)クラウドコントロールパネル
  • (管理対象のお客様)MyRackspaceポータル

OpenSSL

次のセクションでは、OpenSSLを使用して単一のホスト名のCSRを生成する方法について説明します。複数のホスト名のCSRを生成する場合は、CloudコントロールパネルまたはMyRackspaceポータルを使用することをお勧めします。

OpenSSLをインストール

次のコマンドを使用して、OpenSSLがインストールされているかどうかを確認します。

  • CentOS®およびRedHat®EnterpriseLinux®

    rpm -qa | grep -i openssl

    次の出力は、コマンドが返すものの例を示しています。

    openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

  • Debian®とUbuntu®オペレーティングシステム

    dpkg -l | grep openssl

    次の出力は、コマンドが返すものの例を示しています。

    ii  libgnutls-openssl27:amd64           2.12.23-12ubuntu2.4              amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                             1.0.1f-1ubuntu2.16               amd64        Secure Sockets Layer toolkit - cryptographic utility

上記のパッケージが返されない場合は、次のコマンドを実行してOpenSSLをインストールします。

  • CentOSとRedHat

    yum install openssl openssl-devel

  • DebianとUbuntuオペレーティングシステム

    apt-get install openssl
RSAキーを生成します

次のコマンドを実行して、RSAキーを格納するディレクトリを作成し、選択したディレクトリ名に置き換えます。

mkdir ~/domain.com.ssl/
cd ~/domain.com.ssl/

次のコマンドを実行して、秘密鍵を生成します。

openssl genrsa -out ~/domain.com.ssl/domain.com.key 2048
CSRを作成する

次のコマンドを実行して、RSA秘密鍵を使用してCSRを作成します(出力はPrivacy-Enhanced Mail(PEM)形式です):

openssl req -new -sha256 -key ~/domain.com.ssl/domain.com.key -out ~/domain.com.ssl/domain.com.csr

プロンプトが表示されたら、次の表に示す規則を使用して、CSRを作成するために必要な情報を入力します。

注: 組織名に次の文字を使用することはできません または組織単位 フィールド:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

フィールド 説明
一般名 証明書が適用される完全修飾ドメイン名。ドメイン名example.com およびwww.example.com は互いに異なるため、適切なドメインのリクエストを送信してください。ワイルドカード証明書を購入する場合は、*。example.comを使用してください 。 example.com
組織名 組織の正確な正式名称。認証局(CA)は、組織が本物で合法的に登録されていることを確認しようとする場合があるため、組織の正式名称で省略されていない単語は省略しないでください。 Example Inc.
組織単位 リクエストを行っている組織の支店。 マーケティング
都市/地域 組織が合法的に所在する都市。都市名を省略しないでください。 サンアントニオ
州/県 組織が合法的に所在する州または州。州または州の名前を省略しないでください。 テキサス
国/地域 お住まいの国の2文字の国際標準化機構(ISO)の略語。 米国

警告: チャレンジパスワードは空白のままにします( Enter を押します) 。

CSRを確認する

次のコマンドを実行して、CSRを確認します。

openssl req -noout -text -in ~/domain.com.ssl/domain.com.csr

CSRを確認したら、それをCAに送信してSSL証明書を購入できます。

WindowsIISマネージャー

次の手順を使用して、WindowsIISマネージャーを使用してCSRを生成します。

注: 次の手順は、WindowsServer2012上のIIS8またはIIS8.5用です。

  1. IISマネージャーを開きます。

  2. 左側の接続 ペインで、CSRを生成するサーバーをクリックします。

  3. センターサーバーのホーム IISの下のペイン セクションで、サーバー証明書をダブルクリックします 。

  4. 右側のアクション ペインで、証明書リクエストの作成をクリックします 。

  5. 証明書のリクエスト ウィザード、識別名のプロパティ ページで次の情報を入力し、[次へ]をクリックします 。

    フィールド 説明
    一般名 証明書が適用される完全修飾ドメイン名。ドメイン名example.com およびwww.example.com は互いに異なるため、適切なドメインのリクエストを送信してください。ワイルドカード証明書を購入する場合は、*。example.comを使用してください 。 example.com
    組織名 組織の正確な正式名称。 CAは、組織が本物で合法的に登録されていることを確認しようとする場合があるため、組織の正式名称で省略されていない単語を省略しないでください。 Example Inc.
    組織単位 リクエストを行っている組織の支店。 マーケティング
    都市/地域 組織が合法的に所在する都市。都市名を省略しないでください。 サンアントニオ
    州/県 組織が合法的に所在する州または州。州または州の名前を省略しないでください。 テキサス
    国/地域 お住まいの国の2文字のISO略語。 米国

  6. 暗号化サーバープロバイダーのプロパティ ページで次の情報を入力し、[次へ]をクリックします 。

    • 暗号化サービスプロバイダー :特定の暗号化プロバイダーがない限り、デフォルトの選択を使用してください。
    • ビット長 :2048が推奨ビット長です。

  7. ファイル名について ページで、証明書要求ファイルを保存する場所を入力し、完了をクリックします。 。

CSRを生成したら、それをCAに送信してSSL証明書を購入できます。

クラウドコントロールパネル

Rackspaceは、CSRを生成するためのCSRジェネレーターを提供します。 CSRジェネレーターは、現在所有しているCSRを表示し、簡単なフォームで新しいCSRを作成できるようにします。詳細を入力すると、ジェネレーターはそれらを秘密鍵と組み合わせて、結合されたエンコードされた情報をCAに送信できるようにします。

ジェネレーターの使用が終了したら、上部のナビゲーションにあるリンクのいずれかをクリックするか、login.rackspace.comにアクセスして Rackspace Cloud を選択することにより、クラウドコントロールパネルに戻ることができます。 上部のナビゲーションバーのドロップダウン製品メニューから。

CSRジェネレーターにアクセスする

次の手順を使用して、直接またはコントロールパネルからCSRジェネレーターにアクセスします。

  1. Cloudコントロールパネルにログインし、 Rackspace Cloudを選択します 上部のナビゲーションバーのドロップダウン製品メニューから。
  2. 上部のナビゲーションバーで、[サーバー>クラウドサーバー]をクリックします 。
  3. CSRを生成するサーバーの名前をクリックします。
  4. 右側のサーバーの管理 ヘルプの下のセクション 、[CSRの生成]をクリックします 。

ジェネレータは、既存のCSRがある場合は、ドメイン名別に整理して一覧表示します。

CSRを生成する

  1. CSRの作成をクリックします 。

  2. CSRに関連付けられる次の情報を入力します。

    フィールド 説明
    ドメイン名 証明書が適用される完全修飾ドメイン名。ドメイン名example.com およびwww.example.com は互いに異なるため、適切なドメインのリクエストを送信してください。両方のドメインを保護する場合は、代替名を使用できます 分野。ワイルドカード証明書を購入する場合は、*。example.comを使用してください 。 example.com
    代替名 (オプション) リクエストに追加する追加のドメイン。各CAはこれらを異なる方法で処理し、CAは追加の名前に対して課金する場合があります。カンマ区切りのリストを送信できます。 www.example.com、secure.example.com
    メールアドレス (オプション) 証明書の連絡先メールアドレス。 [email protected]
    組織名 組織の正確な正式名称。 CAは、組織が本物で合法的に登録されていることを確認しようとする場合があるため、組織の正式名称で省略されていない単語を省略しないでください。 Example Inc.
    組織単位 (オプション) リクエストを行っている組織の支店。 マーケティング
    都市 組織が合法的に所在する都市。都市名を省略しないでください。 サンアントニオ
    州または県 組織が合法的に所在する州または州。州または州の名前を省略しないでください。 テキサス
    ドロップダウンメニューから国を選択します。お住まいの国の2文字のISO略語はCSRに含まれています。 米国
    秘密鍵のビット長 2048より小さいキーサイズは安全でないと見なされ、CAによって受け入れられない可能性があります。 1024,2048,4096
    ハッシュアルゴリズム 両方のアルゴリズムは現在主流のブラウザで信頼されており、業界が推奨するセキュリティを提供します。 SHA-512には追加のCPU処理が必要です。 SHA-256、SHA-512

    注: 組織名に次の文字を使用することはできません または組織単位 フィールド:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

  3. 必要な情報をすべて入力したら、[CSRの作成]をクリックします 。

CSRが生成されるまでに5〜60秒かかる場合があります。新しいCSRがリストされる前に、CSRを表示するページを更新する必要がある場合があります。

CSRの詳細を表示

CSRが生成されたら、CSRリストでそのUUID(一意の識別子)をクリックして、詳細画面を表示できます。

この画面には、提供した情報、CSRのテキスト、および関連する秘密鍵が表示されます。

CSRをCAに送信する

証明書リクエストのテキスト フィールドはCSRです。 CSRと公開鍵のエンコードされた詳細が含まれています。

SSL証明書をリクエストするには、証明書リクエストをコピーします テキストを送信してCAに送信します。 BEGINを含むすべてのテキストを含める およびEND テキストブロックの最初と最後の行。

秘密鍵をインストールする

証明書をホストするサーバーに秘密鍵をコピーします。サーバーの秘密鍵と証明書をインストールする場所を決定するには、アプリケーションのドキュメントを参照してください。

MyRackspaceポータル

管理対象または専任のお客様の場合は、次の手順を使用して、MyRackspaceポータルからCSRをリクエストできます。

  1. MyRackspaceポータルにログインし、専用ホスティングを選択します 上部のナビゲーションバーのドロップダウン製品メニューから。

  2. 上部のナビゲーションバーで、[チケット>チケットの作成]をクリックします 。

  3. チケット/新しいチケットの作成 ページで、証明書署名要求(CSR)の生成を選択します 件名から ドロップダウンリスト。

  4. チケットの詳細に次の情報を入力します セクション:

    フィールド 説明
    デバイス CSRを生成する1つまたは複数のサーバー。ドロップダウンメニューを使用してサーバーを選択します。
    一般名 証明書が適用される完全修飾ドメイン名。ドメイン名example.com およびwww.example.com は互いに異なるため、適切なドメインのリクエストを送信してください。両方のドメインを保護する場合は、代替名を使用できます 分野。ワイルドカード証明書を購入する場合は、*。example.comを使用してください 。 example.com
    Alt。名前 (オプション) リクエストに追加する追加のドメイン。各CAはこれらを異なる方法で処理し、CAは追加の名前に対して課金する場合があります。カンマ区切りのリストを送信できます。 www.example.com、secure.example.com
    メールアドレス (オプション) 証明書の連絡先メールアドレス。 [email protected]
    組織 組織の正確な正式名称。 CAは、組織が本物で合法的に登録されていることを確認しようとする場合があるため、組織の正式名称で省略されていない単語を省略しないでください。 Example Inc.
    組織単位 (オプション) リクエストを行っている組織の支店。 マーケティング
    地域(市) 組織が合法的に所在する都市。都市名を省略しないでください。 サンアントニオ
    州または県の名前 組織が合法的に所在する州または州。州または州の名前を省略しないでください。 テキサス
    ドロップダウンメニューから国を選択します。お住まいの国の2文字のISO略語はCSRに含まれています。 米国

    注: ビット長は自動的に2048に設定されます。

  5. チケットの作成をクリックします 。

次のステップ
  • SSL証明書を購入または更新する
  • SSL証明書をインストールする
リファレンス
  • https://www.digicert.com/csr-ssl-installation/iis-8-and-8.5.htm

Linux

  1. 6すべてのシステム管理者が知っておくべきOpenSSLコマンドオプション

  2. OpenSSLを使用してSSL証明書がSHA1またはSHA2であるかどうかを確認するにはどうすればよいですか?

  3. SSLの証明書署名要求(CSR)を生成する方法

  1. Linuxで証明書署名要求(CSR)を生成する方法

  2. OpenSSLを使用してx509SHA256ハッシュ自己署名証明書を生成する方法

  3. すべての証明書チェーンのHpkpフィンガープリントを生成しますか?

  1. CpanelからCSRを生成する

  2. OpenSSLを使用して証明書署名要求(CSR)を生成する方法は?

  3. openssl を使用してサーバーから証明書を取得する