OpenSSLを使ったCSRファイル作成例

CSR作成方法(OpenSSLの場合)

OpenSSLを使ったCSRの作成方法をご案内します。
この方法は,お手持ちのOpenSSL, Apache, mod_sslがインストールされたPCで作成することが可能です。MacOS Xであれば,「ターミナル」からのコマンド入力でお使いいただけます。また,ash.s.kyushu-u.ac.jp に SSO-KID でログインすることでも利用できます。

手順

以下の手順で作成したCSRをもとに申請様式(TSVファイル)を作成します。TSVファイルの作成方法はサーバ証明書申請手順のページに戻って作業を進めてください。
また,詳しい手順につきましては,NIIのWebサイト内にあるサーバ証明書インストールマニュアルをご確認ください。

1. OpenSSLでの秘密鍵・公開鍵の生成

乱数生成のために200KB程度のファイルを準備し,作業用ディレクトリに置きます。ここでは file1.txt, file2.txt, file3.txt  の3つを準備している例を示します。
opensslコマンドを使って鍵生成をします。この際,鍵長は2048bitをご利用ください。

% opensslgenrsa -des3 -rand file1.txt:file2.txt:file3.txt 2048 > servername.key 149 semi-random bytes loaded Generating RSA private key, 2048 bit long modulus .................................................................++++++ ..............................++++++ e is 65537 (0x10001) Enter pass phrase: ←私有鍵(秘密鍵)パスフレーズ入力 Verifying - Enter pass phrase: ←私有鍵(秘密鍵)パスフレーズ再入力

2. CSR作成

Country Name必ず「JP」を入力
State or Province Name省略(ドット'.'を入力)
Locality Name必ず「Academe」を入力
Organization Name「Kyushu University」を入力
Organizational Unit Name適切に入力
(以下の例ではmyservとしてます)
Common NameサーバのFQDNを入力
(以下の例ではmyserv.xx.kyushu-u.ac.jp)  
Email Address省略(ドット'.'を入力)

3. OpenSSLコマンドの実行例

% openssl req -new -key servername.key -sha256 -out servername.csr ←下の注意欄をご確認ください。 Enter pass phrase for servername.key: ←指定したパスフレーズ入力 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP ←'JP'を入力 State or Province Name (full name) [Some-State]:. ←ドット'.'を入力 Locality Name (eg, city) []:Academe ←'Academe'を入力 Organization Name (eg, company) [Internet Widgits Pty Ltd]:Kyushu University Organizational Unit Name (eg, section) []:myserv ←'myserv'を入力 Common Name (eg, YOUR name) []:myserv.xx.kyushu-u.ac.jp Email Address []:. ←ドット'.'を入力 Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:. ←ドット'.'を入力 An optional company name []:. ←ドット'.'を入力

OpenSSLコマンド実行時の注意点(2015/02/18 現在)

認証基盤事業室では,CSR作成の際に署名アルゴリズムにSHA-2を指定していただくことを推奨します。

% openssl req -new -key servername.key -sha256 -out servername.csr


(以下の件は対応済です)

しかし現在,更新申請をする際,旧証明書と異なる署名アルゴリズムを指定する(SHA-1→SHA-2)と,内部エラーを起こす不具合が発生しているとのことです。そのため,以下のいずれかの方法で回避する必要があります。

  •  従来のSHA-1で申請ファイルを作り直し,継続申請とする

% openssl req -new -key servername.key -sha1 -out servername.csr

  •  OUを変更し,新規申請とする

この問題点は現在,改修を進めているとのことですので,いずれ解決することが期待できますが,現時点での更新を希望されている場合は回避策の検討をお願いします。