SureServer/SureServer EV Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Version 1.6 PUBLIC RELEASE 2015/02/09 Copyright (C) Cybertrust Japan Co., Ltd. All Rights Reserved.
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 2 改 訂 履 歴 日 付 バージョン 内 容 2012/06/22 1.0 初 版 リリース 2012/08/27 1.1 OU に 関 する 記 述 内 容 を 修 正 2013/06/26 1.2 SureServer(1024bit)の 受 付 終 了 に 伴 う 修 正 2013/08/02 1.3 Cybertrust Japan Public CA G3 の 提 供 開 始 に 伴 う 修 正 2013/10/24 1.4 擬 似 乱 数 ファイルの 作 成 に 関 する 修 正 2014/01/06 1.5 SureServer(1024bit)の 終 了 に 伴 う 修 正 2015/02/09 1.6 クロスルート 証 明 書 の 変 更 に 伴 う 修 正
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 3 目 次 はじめに... 4 サーバ 証 明 書 お 申 込 みフロー... 5 CSR の 作 成... 6 1. CSR 作 成 前 のご 確 認 事 項... 7 1.1. 公 開 鍵 長 のご 指 定 について... 7 1.2. CSR 作 成 時 に 指 定 する 項 目 (DN)について... 7 1.3. 本 手 順 の 設 定 例 について... 8 2. 秘 密 鍵 ファイルの 作 成... 9 3. CSR の 作 成... 10 4. 鍵 ファイルのバックアップ... 12 5. 証 明 書 のお 申 し 込 み... 13 証 明 書 のインストール... 14 6. 証 明 書 のダウンロード... 15 6.1. 中 間 CA 証 明 書 のダウンロード... 15 6.2. SSL サーバ 証 明 書 のダウンロード... 15 7. 証 明 書 のインストール... 16 7.1. SSL 設 定 ファイルの 編 集... 16 7.2. 秘 密 鍵 ファイル 暗 号 化 によるエラーについて... 17 7.3. 改 善 方 法... 18 SSL 通 信 の 確 認... 19 8. SSL 通 信 の 確 認... 20
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 4 はじめに! 本 手 順 書 をご 利 用 の 前 に 必 ずお 読 みください 本 ドキュメントは Microsoft 社 Windows OS Apache + mod SSL の 環 境 下 でサイバートラストのサー バ 証 明 書 をご 利 用 いただく 際 の CSR 作 成 とサーバ 証 明 書 のインストールについて 解 説 するドキュメント です 本 手 順 は Apache2.2.15 win32-x86 openssl-0.9.8m-r2 の 環 境 下 で 動 作 確 認 をしております また OpenSSL(Path 設 定 を 含 む) Apache がすでに 設 定 されており Apache 単 独 での 動 作 確 認 がで きている 事 を 前 提 としております 実 際 の 手 順 はお 客 様 の 環 境 により 異 なる 場 合 があり Apache の 動 作 を 保 証 するものではございません あらかじめご 了 承 ください なお このドキュメントは 予 告 なく 変 更 される 場 合 があり サイバートラスト 株 式 会 社 はその 内 容 に 対 して 責 任 を 負 うものではありません また このドキュメント 内 に 誤 りがあった 場 合 サイバートラスト 株 式 会 社 は 一 切 の 責 任 を 負 いません このドキュメントで 説 明 するソフトウェアはライセンスに 基 づいて 配 布 されるものであり ライセンスの 条 項 に 従 った 使 用 のみ 許 可 されます このドキュメントは 本 来 の 使 用 目 的 のために 発 行 され 公 に 発 行 されるものではありません このドキュメントの 一 部 または 全 部 を 複 製 することは 禁 じられており 提 供 または 製 造 を 目 的 として 使 用 することはできません ただし サイバートラスト 株 式 会 社 との 契 約 または 同 意 文 書 で 定 められている 場 合 に 限 り この 注 記 の 添 付 を 条 件 として 複 製 することができます サイバートラスト 株 式 会 社 から 事 前 に 書 面 による 合 意 を 得 ない 限 り このドキュメントまたはその 一 部 か ら 直 接 的 または 間 接 的 に 知 り 得 た 内 容 または 主 題 に 関 して 個 々の 企 業 やその 従 業 員 などの 第 三 者 に 対 し 口 頭 文 書 またはその 他 のいかなる 手 段 によっても 伝 達 することはできません
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 5 サーバ 証 明 書 お 申 込 みフロー サーバ 証 明 書 のご 購 入 については 以 下 のお 申 込 みフローをご 確 認 ください 本 手 順 では 赤 枠 で 囲 まれた 部 分 のフローをご 案 内 しています STEP1 お 申 込 み 前 の 確 認 CSR の 作 成 P6~ お 申 込 み 前 の 確 認 STEP2 WEB からのお 申 し 込 み(SureBoard / SureHandsOn) STEP3 必 要 書 類 送 付 / 申 請 の 意 思 確 認 ( 電 話 ) 証 明 書 の 発 行 STEP4 証 明 書 のダウンロード P14~ STEP5 証 明 書 のインストール P15~ STEP6 SSL 通 信 の 確 認 P19~
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 6 CSR の 作 成
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 7 1. CSR 作 成 前 のご 確 認 事 項 CSR 作 成 前 に 以 下 についてご 確 認 ください 1.1. 公 開 鍵 長 のご 指 定 について 公 開 鍵 長 は 2048bit をご 指 定 ください 2048bit 未 満 の 鍵 長 をご 指 定 の 場 合 証 明 書 の 申 請 時 にエラーとなりますのでご 注 意 く ださい 上 記 はクラウドライセンス 商 品 (for クラウド)を 含 みます マルチドメイン 商 品 (SureServer MD など)も 上 記 に 準 じます 1.2. CSR 作 成 時 に 指 定 する 項 目 (DN)について CSR 作 成 時 に 以 下 の 項 目 を 指 定 いただきますので あらかじめ 必 要 項 目 をご 確 認 ください! 以 下 の 点 についてご 注 意 ください 印 がついている 項 目 は 必 須 設 定 項 目 です 各 項 目 の 最 大 文 字 数 は 半 角 64 文 字 ( 半 角 スペースを 含 む)です CSR に 使 用 出 来 る 文 字 は 半 角 英 数 字 (a~z, A~Z, 0~9)と 記 号 ( " # ; + を 除 く)です 日 本 語 は 使 用 しないでください 個 人 事 業 主 の 方 は 入 力 項 目 が 異 なります 詳 細 につきましては 個 人 事 業 主 のお 申 し 込 み 方 法 をご 参 照 ください 入 力 項 目 内 容 入 力 例 コモンネーム(CN) 1SureServer EV[2048bit] SureServer EV[SHA-2]は コモンネームをグローバル IP アドレスとしてご 指 定 い ただけません 2 申 請 法 人 以 外 の 名 称 屋 号 商 標 住 所 場 所 その 他 特 定 の 自 然 人 や 法 人 を 参 照 する 値 を 指 定 するこ とはできません 実 際 に 接 続 する URL の FQDN グローバル IP アドレス( 1) https://www.cybertrust.ne.jp/index.html www.cybertrust.ne.jp https://212.xxx.xxx.xxx/index.html 212.xxx.xxx.xxx 組 織 単 位 名 (OU) 部 署 名 ( 任 意 )( 2) Technical Division 組 織 名 (O) 申 請 組 織 の 名 称 ( 英 名 ) Cybertrust Japan Co.,Ltd. 市 町 村 名 (L) 都 道 府 県 名 (S/ST) 申 請 組 織 の 事 業 所 住 所 の 市 町 村 名 ( 英 名 ) 東 京 は 23 区 申 請 組 織 の 事 業 所 住 所 の 都 道 府 県 名 ( 英 名 ) Minato-ku 国 名 (C) 申 請 組 織 の 国 名 (JP 固 定 ) JP Tokyo
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 8 1.3. 本 手 順 の 設 定 例 について 本 手 順 では 以 下 の 設 定 を 例 としてご 案 内 しております 項 目 ファイル 名 サーバルート 秘 密 鍵 ファイル 証 明 書 ファイル 保 存 ディレクトリ Apache 設 定 ファイル 保 存 ディレクトリ SSL 設 定 ファイルの 保 存 ディレクトリ サーバ 証 明 書 ファイル 名 秘 密 鍵 ファイル 名 中 間 CA 証 明 書 ファイル 名 カレントディレクトリ C:\Apache C:\Apache\conf\ssl C:\Apache\conf\httpd.conf C:\Apache\conf\extra\httpd-ssl.conf SureServer.cer server.key PUBCAG3.cer C:\Apache\conf\ssl! 注 意 事 項 証 明 書 の 更 新 の 際 はセキュリティ 上 の 観 点 により 秘 密 鍵 ファイルと CSR を 作 り 直 していただく ことをおすすめいたします お 客 様 の 環 境 によりファイルやパスが 異 なりますので 環 境 に 合 わせてお 読 み 替 えください 既 存 のファイルと 同 名 で 作 成 した 場 合 既 存 のファイルへ 新 しいファイルが 上 書 きされます ご 注 意 ください 本 手 順 では 以 下 のフォルダを 作 成 ファイルの 保 存 を 行 い カレントディレクトリとしてご 案 内 い たしております
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 9 2. 秘 密 鍵 ファイルの 作 成 OpenSSL を 用 いて コマンドプロンプト 上 で 秘 密 鍵 ファイルを 作 成 します A) 擬 似 乱 数 ファイルを 作 成 します 本 項 で 作 成 する 疑 似 乱 数 は 秘 密 鍵 の 推 測 をより 困 難 にするため 一 時 的 に 利 用 します 疑 似 乱 数 を 使 用 しない 場 合 は 本 手 順 をスキップして B)へお 進 みください コマンド 入 力 openssl (ハッシュ 関 数 ) * > ( 擬 似 乱 数 ファイル 名 ).dat 例 )ハッシュ 関 数 sha1 を 用 いて 擬 似 乱 数 ファイル sha1.dat を 作 成 openssl sha1 * > sha1.dat B) 作 成 した 擬 似 乱 数 ファイルから 秘 密 鍵 ファイルを 作 成 します コマンド 入 力 openssl genrsa ( 暗 号 方 式 ) -out ( 秘 密 鍵 ファイル 名 ) rand ( 擬 似 乱 数 ファイル 名 ) ( 公 開 鍵 長 ) 例 ) 暗 号 方 式 des3 と 擬 似 乱 数 ファイル sha1.dat を 用 いて 公 開 鍵 長 2048bit の 秘 密 鍵 ファイル server.key を 作 成 openssl genrsa -des3 -out server.key -rand sha1.dat 2048 擬 似 乱 数 を 作 成 していない 場 合 openssl genrsa ( 暗 号 方 式 ) -out ( 秘 密 鍵 ファイル 名 ) ( 公 開 鍵 長 ) 例 ) 暗 号 方 式 des3 を 用 いて 公 開 鍵 長 2048bit の 秘 密 鍵 ファイル server.key を 作 成 openssl genrsa -des3 -out server.key 2048
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 10 C) 秘 密 鍵 ファイルのパスフレーズとして 任 意 の 文 字 列 を 入 力 します D) パスフレーズを 再 入 力 します 上 記 の 操 作 が 全 て 完 了 すると カレントディレクトリに 秘 密 鍵 ファイルが 作 成 されます 3. CSR の 作 成 CSR を 作 成 します A) 作 成 した 秘 密 鍵 ファイルから CSR を 作 成 します コマンド 入 力 openssl req -new -key ( 秘 密 鍵 ファイル 名 ) -out ( 作 成 する CSR 名 ) 例 ) 秘 密 鍵 ファイル server.key から CSR server.csr を 作 成 openssl req -new -key server.key -out server.csr B) 秘 密 鍵 ファイルの 作 成 時 に 入 力 したパスフレーズを 入 力 します C) DN 情 報 の 入 力 CSR 作 成 に 必 要 な DN 情 報 を 入 力 します Country Name (2 letter code): JPと 入 力 します
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 11 State or Province Name(full name): 入 力 必 須 項 目 です 申 請 する 組 織 の 都 道 府 県 名 を 入 力 してください 例 )Tokyo Locality Name (eg, city): 入 力 必 須 項 目 です 申 請 する 組 織 の 市 町 村 名 を 入 力 してください ( 東 京 は 23 区 ) 例 )Minato-ku Organization Name* (eg, company): 入 力 必 須 項 目 です 申 請 する 英 訳 組 織 名 を 入 力 してください 例 )Cybertrust Japan Co.Ltd. Organizational Unit Name* (eg, section) : 任 意 入 力 項 目 です 必 要 に 応 じて 申 請 する 組 織 の 部 署 名 を 入 力 してください 申 請 法 人 以 外 の 名 称 屋 号 商 標 住 所 場 所 その 他 特 定 の 自 然 人 や 法 人 を 参 照 す る 値 を 指 定 することはできません 例 )Technical Division Common Name* (eg, YOUR name): 入 力 必 須 項 目 です 申 請 するサーバ 証 明 書 の FQDN(サーバ 名 +ドメイン 名 )を 入 力 して ください 例 )www.cybertrust.ne.jp
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 12 以 下 の 項 目 は 何 も 入 力 せずに[Enter]を 押 して 進 んでください e-mail Address: A challenge password: An optional company name: 全 ての 入 力 が 完 了 しますと -out で 指 定 したディレクトリに CSR が 作 成 さ れます 4. 鍵 ファイルのバックアップ 秘 密 鍵 ファイルは 証 明 書 のインストール 時 に 必 要 となります 万 が 一 に 備 えて 必 ず 別 のメディア(CD や USB 等 )にコピーして 安 全 な 場 所 に 保 管 してください なお 弊 社 がお 客 様 の 秘 密 鍵 ファイルの 情 報 を 受 け 取 ることはございません あら かじめご 了 承 ください
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 13 5. 証 明 書 のお 申 し 込 み 作 成 した CSR をテキストエディタで 開 いて 内 容 をコピーし WEB の 申 請 サイト (SureBoard / SureHandsOn)の 申 請 フォームへ 貼 り 付 けて 弊 社 へお 申 し 込 みくだ さい <CSR サンプル> こちらは 申 請 にご 利 用 いただけません -----BEGIN CERTIFICATE REQUEST----- MIIEhDCCA2wCAQAwgYkxCzAJBgNVBAYTAkpQMQ4wDAYDVQQIDAVUb2t5bzESMBAG A1UEBwwJTWluYXRvLWt1MSIwIAYDVQQKDBlDeWJlcnRydXN0IEphcGFuIENvLixM dgqumriweaydvqqldaluzxn0ifvuaxqxhjacbgnvbammfxrlc3quy3lizxj0cnvz 2t/rD9fTPgo7u4aYzw4BpnAqLmGgy3XpsvCo6f4ROcFsgrk05FgeUCaeDFyllEST -----END CERTIFICATE REQUEST----- -----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- までをハイフンを 含 め すべてコピーし 申 請 画 面 に 貼 り 付 けてく ださい 1 文 字 でも 欠 けるとフォーマットエラーとなりますのでご 注 意 ください
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 14 証 明 書 のインストール! 本 手 順 はサーバ 証 明 書 の 発 行 後 に 行 います
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 15 6. 証 明 書 のダウンロード インストールが 必 要 となる 中 間 CA 証 明 書 SSL サーバ 証 明 書 を 事 前 にダウンロー ドします 6.1. 中 間 CA 証 明 書 のダウンロード サーバ 証 明 書 をご 利 用 の 際 お 使 いの 機 器 へ 中 間 CA 証 明 書 のインストー ルが 必 要 となります ご 選 択 いただいた 商 品 により 必 要 な 証 明 書 が 異 なりますので 証 明 書 の 種 類 をご 確 認 のうえ 以 下 弊 社 ホームページからダウンロードしてください ルート 中 間 CA 証 明 書 のダウンロード また ご 利 用 商 品 や 必 要 な 証 明 書 の 種 類 がご 不 明 の 場 合 は 以 下 をご 覧 く ださい どの 中 間 CA 証 明 書 をダウンロードすればよいですか?! SureServer EV[2048bit] SureServer EV[SHA-2] および SureServer[2048bit] 用 クロスルート 方 式 をご 利 用 の 場 合 は 中 間 CA 証 明 書 と クロスルート 証 明 書 を 連 結 して 1 つにしたファイルが 必 要 になります 6.2. SSL サーバ 証 明 書 のダウンロード SSL サーバ 証 明 書 が 発 行 されましたら 証 明 書 発 行 のお 知 らせのメール 内 リンクより 事 前 にダウンロードし.cer や.txt などの 拡 張 子 で 保 存 してく ださい SSL サーバ 証 明 書 のダウンロードについて
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 16 7. 証 明 書 のインストール 中 間 CA 証 明 書 と SSL サーバ 証 明 書 のインストールを 行 います 7.1. SSL 設 定 ファイルの 編 集 SSL 設 定 ファイルを 編 集 します SSL 設 定 ファイル 名 は お 客 様 がお 使 いの Apache により 異 なる 場 合 があります 例 ) Apache バージョンによる 設 定 ファイル 名 の 違 い Apache 1.3 系 httpd.conf Apache 2.0 系 ssl.conf Apache 2.2 系 httpd-ssl.conf A) Apache の 設 定 ファイルに 以 下 の 3 行 を 追 加 し SSL サーバ 証 明 書 秘 密 鍵 ファイル 中 間 CA 証 明 書 のフルパスとファイル 名 を 設 定 します SSLサーバ 証 明 書 SSLCertificateFile "SSL サーバ 証 明 書 ファイル 名 (フルパス)" 秘 密 鍵 ファイル SSLCertificateKeyFile " 秘 密 鍵 ファイル 名 (フルパス)" 中 間 CA 証 明 書 SSLCertificateChainFile " 中 間 CA 証 明 書 ファイル 名 (フルパス)" 例 ) 設 定 例 SSLCertificateFile "C:\Apache\conf\ssl\SureServer.cer" SSLCertificateKeyFile "C:\Apache\conf\ssl\server.key" SSLCertificateChainFile "C:\Apache\conf\ssl\PUBCAG3.cer" B) Apache の 設 定 ファイルを 確 認 し 以 下 の 記 述 のコメントアウトを 外 し SSL の 設 定 を 有 効 にしてください #LoadModule ssl_module modules/mod_ssl.so LoadModule ssl_module modules/mod_ssl.so
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 17 更 新 や 他 社 からの 乗 り 換 えの 場 合 以 下 のいずれかの 設 定 を 行 ってください 設 定 ファイル 内 の 指 定 先 ファイルをリネームして 更 新 後 の 証 明 書 ファイルへ 差 し 替 える 設 定 ファイル 内 のフルパスの 指 定 を 更 新 後 のファイルの 保 存 先 へ 変 更 する SSL 通 信 の 設 定 を 有 効 にするため Apache の 再 起 動 を 行 ってください 以 上 で 証 明 書 のインストールは 完 了 です 7.2. 秘 密 鍵 ファイル 暗 号 化 によるエラーについて Windows 環 境 下 で 暗 号 化 した 秘 密 鍵 ファイルを 使 用 する 際 以 下 のエラー (The requested operation has failed!)が 表 示 され サーバ 証 明 書 のインスト ール 後 に Apache を 起 動 できない 場 合 があります C:\Apache\logs\error.log に 以 下 のエラーログが 記 述 されます [error] Init: SSLPassPhraseDialog builtin is not supported on Win32 (key file 秘 密 鍵 ファイル 名 )
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 18 7.3. 改 善 方 法 本 事 象 につきましては 秘 密 鍵 ファイルの 暗 号 化 を 解 除 する 事 で 改 善 する 場 合 があります 具 体 的 な 操 作 は 以 下 となります A) 暗 号 化 を 解 除 した 秘 密 鍵 ファイルを 新 たに 作 成 します コマンド 入 力 openssl rsa -in ( 暗 号 化 された 秘 密 鍵 ファイル 名 ) -out ( 新 たに 作 成 す る 秘 密 鍵 ファイル 名 ) 例 ) 新 しい 秘 密 鍵 ファイル 名 を server2.key とした 場 合 openssl rsa -in server.key -out server2.key B) Enter PEM pass phrase と 表 示 されますので 秘 密 鍵 ファイルのパス フレーズを 入 力 します C) カレントディレクトリに 暗 号 化 を 解 除 した 秘 密 鍵 ファイル server2.key が 作 成 されます D) 作 成 した 秘 密 鍵 ファイルで Apache が 正 しく 起 動 するか 確 認 します
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 19 SSL 通 信 の 確 認
Apache + mod SSL(Windows) CSR 作 成 / 証 明 書 インストール 手 順 書 ( 新 規 更 新 用 ) Page 20 8. SSL 通 信 の 確 認 サーバ 証 明 書 が 正 しくインストールされ エラーやセキュリティ 警 告 が 表 示 されず 正 常 に SSL 通 信 が 可 能 であることを 確 認 します SSL 通 信 の 確 認 は 設 定 を 行 っているサーバ 以 外 の Web ブラウザや 携 帯 電 話 ス マートフォンなどの 携 帯 端 末 サーバ 証 明 書 の 設 定 確 認 から 行 うことを 推 奨 しま す 設 定 確 認 例 Internet Explorer 8 <SureServer EV[2048bit]> <SureServer[2048bit](クロスルート 方 式 を 含 む)> Firefox 12.0 <SureServer EV[2048bit]> <SureServer[2048bit](クロスルート 方 式 を 含 む)> なお 接 続 時 にセキュリティ 警 告 やエラーが 表 示 される 場 合 は 以 下 よくある 質 問 の SSL 通 信 時 のセキュリティ 警 告 やエラーについて をご 参 照 ください SSL 通 信 時 のセキュリティ 警 告 やエラーについて