インフラエンジニアbacchiのわかったことまとめ

bacchi.me

SSL証明書申請時のTips

SSL証明書の申請時に使うコマンドなど


秘密鍵・CSRの生成の際注意点などをまとめました。
この例ではLinux、Unixの例をまとめています。

認証局へ申請するまでの流れ

認証局へSSL証明書の発行をするには以下の手順で進めていきます。

1.秘密鍵の生成

サーバー上で秘密鍵を作ります。
コマンドの例はしたの方にまとめています。

2.1で作った秘密鍵を元にCSRの生成

サーバー上でCSRを作ります。コマンドはしたの方にまとめています。

企業認証型SSL証明書、EVSSL証明書を申請する場合、CSRに登録する所有者の情報と
ドメインのWhoisに登録されている所有者の情報が異なる場合、Whoisの情報に合わせる必要があります。

また、Whoisに登録されている所有者の情報とSSL証明書の申請者情報が異なる場合、
どちらかの登録内容に合わせるか、ドメインの使用許可書や
弁護士趣意書などの書類を提出しなければならなくなります。

なるべくWhoisと申請者が同一であるようにハンドリングしましょう。

3.認証局へ申請を行う。

ドメイン認証SSLの場合、認証局が指定するメールアドレスで
メールが受信できる用になっている必要があります。

 以下に必要になるメールアドレスの例を挙げます。

■WHOISに登録されているメールアドレス
属性型JPドメイン名(www.example.co.jpなど)
→WHOISに「登録担当者/技術連絡担当者」として登録されているEメールアドレス
地域型JPドメイン名(example.chuo.tokyo.jpなど)
→※WHOIS表示のEメールアドレスは選択できません
汎用JPドメイン名(www.example.jpなど)
→WHOISに「公開連絡窓口」として登録されているEメールアドレス
gTLD(www.example.comなど)
→WHOISに「Administrative Contact」、
 「Technical Contact」として登録されているEメールアドレス
 ※登録レジストラによってはWHOISのアドレスを参照できない場合があります。
■認証局が自動的に指定するメールアドレス
admin@
administrator@
hostmaster@
webmaster@
postmaster@

企業認証型SSL証明書、EVSSL証明書の場合、
認証局からドメインを所有する団体の決済権限者へ電話確認が入ります。

そのステップを経ないとSSL証明書が発行されません。

多くの認証局で電話確認のスケジュール調整が可能なので
認証局の担当者とスケジュール調整をしておくと吉です。

コマンドまとめ

秘密鍵やCSR生成のためのコマンドや、
秘密鍵とSSL証明書の組み合わせが合っているかどうかを確認するためのコマンド例をまとめました。

## 秘密鍵のの生成
openssl genrsa -out keynp.pem 2048(鍵長を指定)
→コマンド末尾の数字が秘密鍵の鍵長です。
 このコマンドでは秘密鍵にパスワードを設定していません。
## PrivateKeyの確認
openssl rsa -in keynp.pem -text
## CSRの生成
openssl req -new -key keynp.pem -out csr.pem
## CSRの確認
openssl req -in csr.pem -text
## SSL証明書の確認
openssl x509 -in cert.pem -text
## 秘密鍵とSSL証明書の確認
openssl s_server -cert cert.pem -key keynp.pem
→Acceptと出れば秘密鍵とSSL証明書の組み合わせが合っています。
  • B!