ネットワーク用語 > CSR
CSR †
CSR = Certificate Signing Request
公開鍵基盤のシステムにおいて、証明書署名要求 (英: CSR, certificate signing request または certification request) とは公開鍵証明書を申し込むために申請者から認証局へ送られるメッセージのことである。
CSRを作成する前に、申請者はまず公開鍵と秘密鍵のペアを生成し、秘密鍵を秘匿する。
CSRには (X.509証明書の場合はディレクトリ名などの) 申請者を識別する情報と、申請者によって選択された公開鍵が含まれる。
対応する秘密鍵はCSRに含まれないが、要求全体の電子署名に使われる。CSRは認証局によって要求される他の資格証明や身元証明を伴うことがあり、認証局は追加情報を得るために申請者へ連絡を取ることがある。
要求が成功すると、認証局は公開鍵証明書を送り返す。この証明書は認証局の秘密鍵で電子署名されている。
CSR 【Certificate Signing Request】
認証局に提出するテキストデータ形式の署名要求。
SSLサーバ証明書を申請するためには、まずウェブサーバ (またはアクセラレータなどのデバイス) で、SSL暗号化通信に使用する鍵ペア(公開鍵・秘密鍵)を作成します。
CSRはこの鍵ペアを元に生成し、公開鍵の情報の他、識別名(ディスティングイッシュネーム)が含まれています。
生成したCSRをSSLサーバ証明書申請の際に提出します。
認証局ではこのCSRに対して署名を行い、SSLサーバ証明書を発行します。
CSRについて
CSRは、SSL証明書を得る際に最も重要なステップです。
CSR(Certificate Signing Request)は、公開鍵の情報の他、組織名や組織の所在地などの情報を含んでいます。
レンタルサーバなど、ウェブ・サーバに直接アクセスできなければ、CSRはウェブ・サーバの管理者が代行することで、生成されます。
ウェブ・サーバがCSRを生成する機能を可能にしたならば、コントロールパネル(Ensim、Plesk、CPanel)で自らCSRを生成することができます。
生成されるCSRは、同一な物はありません。
同じ情報で同じ手順でCSRを再度作成しても、二度と同一のCSRを作成することは出来ません。
CSRの中にどんな情報がありますか?
以下にCSRを生成するのに必要な情報の例があります。
フィールド 説明 例 Common Name Webサーバの完全なドメイン名 (FQDN)です。この名前は完全一致が必要となります。 URL https://www.onlinessl.jpの安全性を確保するつもりならば、あなたのCSRのコモンネームはwww.onlinessl.jpでなければなりません Organization 組織の法律上の正式名称です。この名前は省略できません。ケープコッド株式会社 CapeCod K.K. Organization Unit 部署名 SSL section City or Locality 法律上、組織が置かれている市区町村です。 Tokorozawa State or Province 法律上、組織が置かれている都道府県です。省略できません。 Saitama Country 組織が存在する国を示す2文字のISO略語です。 JP
コモンネームについて
コモンネーム(CN)は、SSL接続の際にブラウザにアドレスとして入力するURL (FQDN) を指定します。
コモンネームの例
・www.mydomain.com
・secure.mydomain.com
・mail.mydomain.com
・mydomain.com
・checkout.mydomain.com
・sales.mydomain.com
コモンネームには、wwwを使わなければなりませんか?
https://www.domain.com の安全性を確保するつもりならば、CSRのコモンネームは www.domain.comでなければなりません。
ユーザーがブラウザでアクセスするURLと正確に一致しなければならないということです。
Tips: CSRにおいて次の文字を使うことができません: < > ~ ! @ # $ % ^ * / \ ( ) ? &
(例外:ワイルドカード証明書のために * を使用できます。)また、http:// または https:// をCSRに含めないでください。
CSRは、どのように見えますか?
組織名や組織の所在地などの情報は、証明書のCSR(署名要求)を生成するために ウェブ・サーバによって使用されます。このように見えるコードのブロックです:
CSR サンプル -----BEGIN CERTIFICATE REQUEST----- MIIB5jCCAU8CAQAwgaUxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdHZW9yZ2lhMRAw DgYDVQQHEwdEZWNhdHVyMRkwFwYDVQQKExBXYXZlUGF0aCBIb3N0aW5nMQ4wDAYD VQQLEwVTYWxlczEgMB4GA1UEAxM8998yoi8ikjndhdmVwYXRoaG9zdGluZy5jb20xJTAj BgkqhkiG9w0BCQEWFnNjb3R0LnJvZ2Vyc0BhdHRiaS5jb20wgZ8wDQYJKoZIhvcN AQEBBQADgY0AMIGJlkjlkjlkjljlkjlkjkjMI7XNI+1Kq50n4gOiDIYanhtzwMFS8iq6VoRATs nQuFoBK2FQ52qpBkDneHL02HdVk82vDVRjRaRcAM2DKZwCkLzbhhjO3rom76bYzl vSxcCUKoCWKpvnpCDXssr6V5sa1B1APMhxU/WRml6Oa7ycTkAUMs3HBZla0NfDcD AgMBAAGgADANBgkqhkilkjoijkLkf9kj$HiulkIKJjeijaoejljoj3v/Xsn04LCQn/oQjD/9ID8FuQA kshzHERuBwRnPo5K8Yv1VVBp9+yPsE527F/K2blU85/TBhkMUDFNhNL3VQJJDOXI 7fQCnBVO+ClqVA== -----END CERTIFICATE REQUEST-----
どのようにCSRを生成しますか?
どのようにCSRを生成するかは、ウェブサーバのタイプに左右されます。特定のサーバーのためのCSR生成方法はここで見つけることができます。
CSRをペーストするとき、何を含めなければなりませんか?----- BEGIN CERTIFICATE REQUEST----- で始まり ----- END CERTIFICATE REQUEST----- で終わります申し込みフォームに CSRをペーストするとき、これらは含まれなければなりません。
