FAQ5:CSRの生成

Q. CSR とは?

Certificate Signing Request の略であり、認証局にSSL証明書の発行申請を行うためのテキストデータ形式(PKCS#10)の署名要求のことを言います。SSLサーバ証明書をお客様のサーバ上のみで稼働させるためのID/PWに相当する公開鍵を含んでいます。

公開鍵情報に加え、証明書利用者の識別名(ディスティングウィッシュ・ネーム情報)等で構成されています。

Q. CSR 生成時に指定する公開鍵長は1024bitではなく、2048bitが必要ですか?

はい、2048bitに指定してください。

1024bit鍵長のSSL証明書は、セキュリティ確保の観点より米国国立標準技術研究所(NIST)の勧告に基づき、マイクロソフトにより2010年末までに利用停止するよう要求されております。

スターフィールドSSLでは、他社に先駆け2009年7月よりマイクロソフト次世代SSLサーバ証明書要件に完全対応済です。

Q. 証明書利用者の識別名(ディスティングウィッシュ・ネーム情報)とは?

Q. CSR入力情報が証明書サブジェクト情報と一致しません。

証明書サブジェクト情報は、認証局による証明書発行先「身元情報」の認証結果であるべき( RFC 5280に準拠)で、Starfield Technologies,LLC.にて以下の通りCSR 英文組織情報の置換えを行っており、問題はありません。

  • 【組織名(O)】
    スタンダードSSL:認証済FQDN
    EV・デラックスSSL:認証済組織名(登記簿、あるいは帝国データやタウンページから転載)
  • 【部署名(OU)】
    スタンダードSSL:Domain Control Validated
    EV・デラックスSSL:(情報なし) 
注意事項 CSR情報は自己申告(オレオレ)情報です!
証明書のサブジェクト情報には、認証局が自ら認証した証明書発行先の身元情報(登記簿、帝国データバンク情報、タウンページ情報等)が記載されます。自己申告情報であるCSR情報はCSRの所有者情報として弊社内部で参照されますが、認証(身元)情報として活用されることはありません。

Q. Open SSLによるCSR 生成時の留意点は?

公開鍵の鍵長を2048bitでOpenSSLにてCSR生成する際、ごくまれに指定外の鍵長でCSRファイルが生成される場合がありますので、CSRファイルの内容を以下コマンドにて公開鍵長が確かに2048bitであることを確認の上、申請ください。

openssl req-noout-text-in CSRファイル名 > 結果出力先ファイル名

結果出力先ファイルをエディタで開くとCSRファイルを解析した結果が表示されますので、"RSA Public Key:2048bit"となっていることを確認してください。

Q. CSR の生成方法

代表的なサーバーソフトウェアでのCSR 生成方法をご案内しております。

詳細はこちらをご参照ください。

ガイドの内容は参考資料としてお使い下さい。ジェイサートとして、ガイド内容の正確性やその効果につき、何ら保証するものではありません。

詳細手順やサーバ設定仕様については各製品のアプリケーションマニュアルか開発元/販売元にお問い合わせください。

Q. マルチドメインの登録方法

マルチドメイン証明書における、マルチドメイン(基幹ドメイン以外)はCSRに記載する必要はありません。

FAQ一覧へ戻る