25.7. CA に送信する証明書要求の生成
キーを作成したら、次の手順では、選択した CA に送信する必要のある証明書要求を生成します。
/usr/share/ssl/certs/
ディレクトリーにいることを確認し、以下のコマンドを入力します。
make certreq
システムに以下の出力が表示され、パスフレーズの入力が求められます(パスフレーズオプションを無効にしていない限り)。
umask 77 ; \ /usr/bin/openssl req -new -key -set_serial num /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter pass phrase:
必要でない場合は、鍵の生成時に選択したパスフレーズを入力します。次に、システムに指示が表示され、そこから一連の応答が求められます。入力は証明書要求に組み込まれます。応答の例を含む表示は以下のようになります。
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:admin@example.com
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
デフォルトの回答は、入力のリクエストごとにすぐに括弧(
[]
)で表示されます。たとえば、必要な最初の情報は、証明書が使用される国の名前です。以下に例を示します。
Country Name (2 letter code) [GB]:
括弧内のデフォルトの入力は
GB
です。Enter を押してデフォルトを使用するか、国の 2 文字コードを 入力 します。
残りの値を入力する必要があります。これらすべては分かりにくくなりますが、以下のガイドラインに従う必要があります。
- ローカリティーや状態を省略しないでください。書き出します(例: St. Louis は Saint Louis として記述する必要があります)。
- この CSR を CA に送信する場合は、特に
組織名
および共通名など、すべてのフィールドに正しい情報を提供できるように注意してください
。CA は CSR で提供される情報を確認し、組織がCommon Name
として提供されたものを責任しているかどうかを判断します。CA は、無効として許容される情報を含む CSR を拒否します。 Common Name
には、サーバーのエイリアスではなく、安全 な サーバーの名前(有効な DNS 名)に入力してください。Email Address
は、Webmaster またはシステム管理者のメールアドレスである必要があります。- @、#、& ! などの特殊文字は使用しないでください。一部の CA は、特殊文字を含む証明書要求を拒否します。会社名にアンパサンド(&)が含まれている場合は、"& ではなく「and」として省略します。
- 追加属性(
チャレンジパスワード
および任意の会社名)は
使用しないでください。これらのフィールドを入力せずに続行するには、Enter を押して両方の入力に空のデフォルトをそのまま使用します。
情報の入力が完了したら、
/etc/httpd/conf/ssl.csr/server.csr
ファイルが作成されます。このファイルは証明書要求で、CA に送信する準備が整います。
CA を決定したら、その CA の Web サイトへの指示に従います。指示により、証明書要求、必要なその他のドキュメント、および支払いに支払いを行う方法が記載されています。
CA の要件を満たすと、証明書(通常は電子メール)が送信されます。
/etc/httpd/conf/ssl.crt/server.crt
として送信する証明書を保存(またはカットアンドペースト)します。このファイルのバックアップを必ず維持してください。