すっさんぽ
  1. Posts/

サーバ証明書の更新でCSRを作成するときに使ったコマンド

·

SSL証明書の更新(発行)で使用したコマンドをまとめておく。

openssl genrsa #

openssl genrsa -out [名前].key 2048

opensslのgenrsaコマンドを使用して、RSA暗号の秘密鍵を作成する。

-out
出力するファイル名を指定する
2048
鍵長を2048ビットにしていする。なお、初期値が2048なので、わざわざ指定しなくても良さそうだった。

いくつかのサイトを見ると、-des3などのオプションを使用して鍵の暗号化をしているものもあった。

openssl req #

openssl req -new -key [名前].key -out [名前].csr

opensslのreqコマンドを使用して、証明書署名要求ファイルを作成する。

-new
新規で証明書署名要求ファイルを作成するときに指定するオプション。要求者の情報を入力するプロンプトが出てくる。 次に付ける-keyオプションがない場合、設定ファイルで指定されている情報を使用してRSAの秘密鍵も生成されるとのこと。 設定ファイルについていくつかのサイトを見ると、環境変数OPENSSL_CONFでパスを指定するか、reqの-configオプションでパスを渡せるらしい。ファイル名はopenssl.confにするのが慣習っぽい。書き方までは調べなかった。
-key
秘密鍵のパスを指定する。
-out
CSRを出力するファイルパスを指定する。

これらの作業で、秘密鍵とCSRのファイルが作成された。 あとは、認証局にCSRを渡すと、証明書・中間証明書が発行される。 サーバには、自身が作成した秘密鍵、認証局が発行した証明書・中間証明書の3つを設置したらOK。