CSRの生成

SSL証明書を有効化するために、CSR(Certificate Signing Request)を生成する必要があります。

CSRは証明書に使用するドメイン名やその所有者を特定することができる暗号化されたテキストの塊で。CSRを生成するには専用のソフトウェアを使用する必要があります。生成後CSRの文字列をコピーしてGandiのウェブサイトのCSR用の専用フィールドにペーストする必要があります。

CSRを生成するために必要なソフトウェアを以下で紹介します。Gandiでの証明書の生成過程でCSRを生成する際に使用するソフトウェアを指定する必要があります。

Apache/ModSSL(OpenSSL)でCSRを生成

シンプルホスティングのインスタンス上で証明書を使用する場合、鍵のサイズは2048 bitsになります。

訪問者のウェブブラウザが古いなど問題があるなどリスクを減らすために、中間証明書とクロスルート証明書をサーバーにインストールしましょう。

SHA1証明書は非推奨であるため、Gandiのパートナーで証明書の認証局であるComodoは期限日が2017年以降の全証明書に、SHA1が使用しているかどうかに関わらず自動的にSHA2証明書を使用します。

CSR (SHA-2)の生成:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

このプロセスでは2つのファイルを生成します: .csrファイル(公開鍵) と.keyファイル(秘密鍵) があります。秘密鍵はcsrファイルと同時に生成され、あなたが使用しているコンピューターやサーバーに保存され、".key"ファイルにはあなただけがアクセスできるようになります。

生成のためのコマンドを実行すると、質問がいくつか表示されます。以下がその質問の例です。

Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: Minnesota
Locality Name (eg, city) []: Moorhead
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Inc.
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: subdomain.example.com
Email Address []:
A challenge password []:
An optional company name []:

"optional company name" と "challenge password"は任意入力です。 メールアドレスの入力は任意入力ですが、入力しておくことをお勧めします。

subdomain.example.comは保護したいサブドメインを指定してください。

注釈

単一ドメイン用の証明書(example.com)を有効化する場合、"www"サブドメインは認証局によって自動的に追加されます。例えば、example.com は "example.com"と"www.example.com"の両方を保護します。また、"www"がついたサブドメインのためにCSRを生成する場合、自動的に"www"が付いていないドメイン名も保護されるようになります。ワイルドカード用証明書をお持ちの場合は、「*」をサブドメインとして入力するようにしてください(例: *.example.com)。ワイルドカード用証明書はサブドメインなしのドメイン名も保護します。

マルチドメイン用証明書を使用する際には、一つ一つ保護するドメイン名を指定する必要があります。上記のようにドメイン名(例: example.com)を指定しても、対応するwwwがついたサブドメインは保護されないのでご注意ください。

CSRファイルの中身は証明書の有効化に必要な情報です。中身をコピーしてGandiウェブサイトのCSR認証用フィールドに入力してください。

このコマンドを使用すると、以下のテキストが表示されます。

cat server.csr

will show you the block of text:

-----BEGIN CERTIFICATE REQUEST-----
...encrypted text...
-----END CERTIFICATE REQUEST-----

中身全てをコピーするようにしてください。

注釈

OpenSSLを使用して作成されたCSRは、ソフトウェアリストからmod Apache/ModSSLを選択してください。

以下のコマンドを使用すると、.keyファイルの中身を表示させることができます。

cat myserver.key

ファイル名の"myserver"を自分のファイル名に置き換えてください。

シンプルホスティングでCSRを生成

SSHコンソールに接続して、CSRファイルと秘密鍵をシンプルホスティングのインスタンス上に生成することができます。

以下のコマンドです /srv/data/tmp フォルダに移動してください。

$ cd /srv/data/tmp

そして、上記のopensslコマンドを実行してください。