Apache:ECC対応CSR作成方法
ECC(楕円曲線暗号)証明書をApacheで利用することができますが、古いOSのスマートフォンの中にはECC証明書未対応のものもあります。
ECC(楕円曲線暗号)の概要と特徴についてはECC(楕円曲線暗号)を参照してください。
ECC 対応 CSR 作成手順
-
Apache がインストールされているサーバーにsshでログインします。
-
以下のコマンドを実行し、ECC対応の秘密鍵を作成します。
# openssl ecparam -out host_name.key -name prime256v1 -genkey
host_name には証明書を利用するホスト名を指定します。
※ECC鍵の推奨サイズは256bitです。より高い強度が必要な場合は、prime384v1あるいはprime521v1を指定してください。
-
作成された秘密鍵を安全な場所に保管してください。この秘密鍵がなくなると証明書のインストールができなくなります。
-
以下のコマンドでECC対応のCSRを作成します。
# openssl req -new -key host_name.key -out host_name.csr -subj "/C=JP/ST=State or Province Name/L=Locality Name/
O=Organization Name/OU= /CN=host_name"
コマンドの -subj 以降の記載内容は以下のルールに従ってください。
-
/C=
国名 (Country Name) – 法人の登記国名を記載します。日本の場合はJPです。
-
/ST=
都道府県名 (State or Province Name) – 法人の登記簿謄本に記載された都道府県名をローマ字で記載します。
-
/L=
法人所在地 (Locality Name) – 法人の登記簿謄本に記載された都市名をローマ字で記載します。
-
/O=
法人名 (Organization Name) – 法人名を英文で記載します。Whois の登録と合致させてください。
-
/OU=
部署名 (Organizational Unit Name) – 部署名を英文で記載します。空でもかまいません。
※2020年12月末をもって組織内の部署名(Organizational Unit Name)の運用は終了いたしました。
2021年1月以降に発行される証明書に組織内の部署名は反映されません。
※関連情報
OUフィールドの廃止に関するご案内
-
/CN=
コモンネーム (Common Name) – サーバー証明書の対象となるホスト名です。Standard SSL では www.rms.ne.jp のように記載してください。
ワイルドカードの場合は *.rms.ne.jp のように記載します。
上記のような記載方法で、Standard SSLとWildCard Plusどちらの場合でも、https://rms.ne.jp/wp/ と https://rms.ne.jp/wp/ の両方で利用できます。
-
作成された .csr ファイルはテキストエディタで開くことができます。
テキストエディタで開くと、以下のような内容が表示されます。
—–BEGIN NEW CERTIFICATE REQUEST—– から —–END NEW CERTIFICATE REQUEST—– までをオーダー時に提出してください。
—–BEGIN NEW CERTIFICATE REQUEST—–
–
–
–
–
–
—–END NEW CERTIFICATE REQUEST—–
関連情報
Apache:ECC対応証明書のインストール方法