5.6. サーバ証明書の作成手順¶

ここでは OpenSSL を使ってサーバ用の SSL 証明書を作成する一般的な手順を参考までに示します。

認証局から手順が提示されている場合は、そちらの手順に従って下さい。

なお、プライベートCAを使用する場合の手順は、プライベートCAの構築・運用手順を参照してください。

5.6.1. CSR(証明書要求)の作成¶

はじめに秘密鍵を作成します。鍵長などのパラメータは適宜指定してください。 (認証局側から鍵長が指定されている場合があります)

openssl genrsa -aes256 -out server_key.pem 2048

秘密鍵はパスフレーズで保護されています。パスフレーズ保護されたままだと、サーバの起動時に毎回パスフレーズの入力が必要になります。解除したい場合は以下のようにします。

mv server_key.pem server_key_encrypted.pem
openssl rsa -in server_key_encrypted.pem -out server_key.pem

CSR を作成します。

openssl req -new -key server_key.pem -out server_req.pem

CN(Common Name)にはサーバのホスト名(FQDN)を指定してください。

server_req.pem に CSR が作成されますので、これを認証局(CA)に送付して証明書を発行してもらいます。

正規の証明書ではなく自己署名証明書を作成する場合は、以下のようにします。有効期限は適宜指定してください。

openssl x509 -in server_req.pem -days 3650 -req -signkey server_key.pem -out server_cert.pem

警告

自己署名証明書を使用することは推奨しません。原則、正規の証明書を使用して下さい。なお、自己署名証明書を使用する場合、クライアントSDKからの接続時に迂回手順が必要になる場合があります。詳細は、各 SDK のマニュアルを参照ください。