鍵を作成したら、次のステップでCAに送付する必要のある認定要求を生成します。次のコマンドを入力します。
make certreq |
以下のような出力が表示され、パスワードを入力するように求められます(パスワードオプションを無効化した場合を除く)。
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter PEM pass phrase: |
鍵の生成時に選択したパスワードを入力します。何らかの指示が表示され、次に一連の応答を要求されます。入力する情報は、認定要求の中に組み込まれます。サンプルの入力情報を使用した場合、画面表示は以下のようになります。
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: US State or Province Name (full name) [Some-State]: North Carolina Locality Name (eg, city) []: Durham Organization Name (eg, company) [Internet Widgits]: Test Company Organizational Unit Name (eg, section) []: Testing Common Name (your name or server's hostname) []: test.mydomain.com Email Address []: admin@mydomain.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
デフォルトの入力値は入力項目名の直後の角かっこ [] の後ろに表示されます。たとえば、先頭の必須情報は、証明書の使用先である国の名前であり、以下のように表示されます。
Country Name (2 letter code) [AU]: |
かっこの中のデフォルト値は AU です。デフォルト値をそのまま採用する場合は Enter キーを押します。その他の場合は、国を表す2文字のコードを入力します。
その他の場合は、国を表す2文字のコードを入力します。( State or Province Name 、 Locality Name 、 Organization Name 、 Organizational Unit Name 、 Common Name 、 Email address )。見ただけでわかるような情報を入力する必要がありますが、以下のガイドラインにしたがう必要もあります。
市または州を省略しないこと。詳しく記入すること(たとえば、St. LouisではなくSaint Louisとすること)。
このCSRをCAに送信する場合は、すべてのフィールド、特に Organization Name と Common Name について正確な情報を指定するように特に注意してください。CAはCSRに記載された情報をチェックして、組織が Common Name として提供している事柄に責任を持っているかどうかを判断します。CAは、無効な情報を含んだCSRを拒否します。
Common Name については、サーバーが使用している可能性のあるエイリアスではなく、セキュアWebサーバーの 本当の名前(有効なDNS名)を入力してください。
Email Address には、Webマスターやシステム管理者の電子メールアドレスを設定する必要があります。
@、#、&、!などの特殊文字の使用は避けてください。CAの中には、特殊文字を含む認定要求を拒否するところもあります。したがって、会社名に「&」記号が含まれる場合は、「&」ではなく「and」と記述してください。
特別な属性( A challenge password と An optional company name )を使用しないでください。これらのフィールドに入力せずに作業を続行するには、 Enter キーを押して、デフォルト値として空白を採用します。
情報の入力が終了すると、 server.csr という名前のファイルが作成されます。このファイルがが認定要求であり、いつでもCAに送付できる状態になっています。
CAを決定したら、CAのWebサイトに提供されている指示にしたがいます。これらの指示は、認定要求の提出方法、その他の必要事項、手数料の支払いなどを説明しています。
CAの要件を満たすと、(通常は電子メールで)証明書が送付されます。送付された証明書を、次のファイル名として保存します。(カット&ペーストしてください。) /etc/httpd/conf/ssl.crt/server.crt