ドキュメンテーション
証明書署名要求(CSR)の生成
証明書署名要求(CSR)を生成するには、独自の鍵を作成する必要があります。 ターミナルプロンプトから次のコマンドを実行すると、キーを作成できます。
openssl genrsa -des3 -out server.key 1024
RSA秘密鍵、1024ビット長の係数を生成する..................... ++++++ .............. ... ++++++ 'ランダムな状態'を書くことができませんeは65537(0x10001)です。server.keyのパスフレーズを入力してください:
パスフレーズを入力できるようになりました。 最高のセキュリティを実現するには、少なくとも8文字を含む必要があります。 -des3を指定する最小の長さは4文字です。 数字や句読点を含める必要があります。辞書内の単語ではありません。 また、パスフレーズでは大文字と小文字が区別されることに注意してください。
確認するパスフレーズを再入力してください。 正しくタイプし直すと、サーバーキーが生成され、 server.keyファイルに格納されます。
[警告]
パスフレーズなしで安全なWebサーバーを実行することもできます。 セキュアなWebサーバーを起動するたびにパスフレーズを入力する必要がないので便利です。 しかし、それは非常に安全ではなく、キーの妥協はサーバーの妥協を意味します。
いずれの場合でも、生成フェーズで-des3スイッチを省略するか、端末プロンプトで次のコマンドを発行して、パスフレーズなしで安全なWebサーバーを実行することができます。
openssl rsa -in server.key -out server.key.insecure
上記のコマンドを実行すると、安全でないキーがserver.key.insecureファイルに格納されます。 このファイルを使用して、パスフレーズなしでCSRを生成することができます。
CSRを作成するには、ターミナルプロンプトで次のコマンドを実行します。
openssl req -new -key server.key -out server.csr
パスフレーズの入力を促すメッセージが表示されます。 正しいパスフレーズを入力すると、企業名、サイト名、電子メールIDなどを入力するよう求められます。これらの詳細をすべて入力すると、CSRが作成され、 server.csrファイルに保存されます。 このCSRファイルをCAに提出して処理することができます。 CANはこのCSRファイルを使用し、証明書を発行します。 一方、このCSRを使用して自己署名証明書を作成することができます。