Red Hat Summit9.3.2. 証明書署名要求の作成
証明書署名要求 (CSR) は、サーバーの鍵を署名するための認証局 (CA) への要求です。このセクションでは、秘密鍵を含む CSR を作成する方法を説明します。
9.3.2.1. コマンドラインを使用した証明書署名要求の作成
キーおよび CSR を作成するには、
certutil ユーティリティーを使用します。
# certutil -d instance_directory -R -g key_size -a \
-o output_file -8 FQDN -s "certificate_subject"
例9.1 単一ホスト名の秘密鍵および CSR の作成
以下のコマンドは、
server.example.com ホストの 4096 ビット秘密鍵を生成し、CSR を /root/instance_name.csr ファイルに保存します。
# certutil -d /etc/dirsrv/slapd-instance_name/ -R -g 4096 -a \
-o /root/instance_name.csr -8 server.example.com \
-s "CN=server.example.com,O=example_organization,OU=IT,ST=North Carolina,C=US"-8 server.example.com オプションは、DNS:server.example.com エントリーを持つサブジェクト代替名(SAN)の拡張を CSR に追加します。-s パラメーターで指定した文字列は、RFC 1485 に従って有効なサブジェクト名である必要があります。CN フィールドが必要で、サーバーの完全修飾ドメイン名(FQDN)に設定する必要があります。その他のフィールドは任意です。
例9.2 マルチホームホストの秘密鍵および CSR の作成
Directory Server ホストに複数の名前がある場合は、CSR の SAN 拡張で、すべてのホスト名を持つ CSR を作成します。以下のコマンドは、4096 ビット秘密鍵と、server
.example.com および server. example.net ホスト名の CSR を生成します。このコマンドは、CSR を /root/instance_name.csr ファイルに保存します。
# certutil -d /etc/dirsrv/slapd-instance_name/ -R -g 4096 -a \
-o /root/instance_name.csr -8 server.example.com,server.example.net \
-s "CN=server.example.com,O=example_organization,OU=IT,ST=North Carolina,C=US"-8 server.example.com,server.example.net オプションは、DNS:server.example.com、DNS:server.example.net エントリーで SAN 拡張を CSR に追加します。-s パラメーターで指定した文字列は、RFC 1485 に従って有効なサブジェクト名である必要があります。CN フィールドが必要で、サーバーの FQDN のいずれかに設定する必要があります。その他のフィールドは任意です。
certutil および拡張使用方法の詳細は、certutil(1) の man ページを参照してください。
CSR を生成した後、それを CA に送信し、発行された証明書を取得します。詳細は、CA のドキュメントを参照してください。
