[[ネットワーク用語]] > CSR
* CSR [#he620f03]
CSR = Certificate Signing Request
[[証明書署名要求 - Wikipedia>http://ja.wikipedia.org/wiki/%E8%A8%BC%E6%98%8E%E6%9B%B8%E7%BD%B2%E5%90%8D%E8%A6%81%E6%B1%82]]
>公開鍵基盤のシステムにおいて、証明書署名要求 (英: CSR, &color(red){certificate signing request}; または certification request) とは公開鍵証明書を申し込むために申請者から[[認証局]]へ送られるメッセージのことである。
CSRを作成する前に、申請者はまず公開鍵と秘密鍵のペアを生成し、秘密鍵を秘匿する。
CSRには (X.509証明書の場合はディレクトリ名などの) 申請者を識別する情報と、申請者によって選択された公開鍵が含まれる。
対応する秘密鍵はCSRに含まれないが、要求全体の電子署名に使われる。CSRは認証局によって要求される他の資格証明や身元証明を伴うことがあり、認証局は追加情報を得るために申請者へ連絡を取ることがある。
要求が成功すると、認証局は公開鍵証明書を送り返す。この証明書は認証局の秘密鍵で電子署名されている。
[[CSRとは【証明書署名要求】Certificate Signing Request - IT用語辞典>http://e-words.jp/w/CSR.html]]
>シーエスアール
CSR【Certificate Signing Request】証明書署名要求
デジタル証明書の発行を[[認証局]]に請求するメッセージのこと。
申請者の識別情報や公開鍵などから成り、秘密鍵で電子署名されて認証局に送信される。
CSRを受け取った認証局が証明書の発行を認めると、デジタル証明書を認証局の秘密鍵で署名して申請者に送信する。
CSRの書式はRFC 2986(PKCS #10)で定められているものが広く利用されており、これをBASE64で符号化したテキストデータを用いることが多い。
[[CSR|PKI用語集|日本ベリサイン>https://www.verisign.co.jp/basic/glossary/csr.html]]
>CSR 【Certificate Signing Request】
認証局に提出するテキストデータ形式の署名要求。
SSLサーバ証明書を申請するためには、まずウェブサーバ (またはアクセラレータなどのデバイス) で、SSL暗号化通信に使用する鍵ペア(公開鍵・秘密鍵)を作成します。
CSRはこの鍵ペアを元に生成し、公開鍵の情報の他、識別名(ディスティングイッシュネーム)が含まれています。
生成したCSRをSSLサーバ証明書申請の際に提出します。
認証局ではこのCSRに対して署名を行い、SSLサーバ証明書を発行します。
[[CSRについて - 日本ケープコッド>http://onlinessl.jp/support/csr/about_csr.html]]
>CSRについて
''CSRは、SSL証明書を得る際に最も重要なステップです。''
CSR(Certificate Signing Request)は、公開鍵の情報の他、組織名や組織の所在地などの情報を含んでいます。
レンタルサーバなど、ウェブ・サーバに直接アクセスできなければ、CSRはウェブ・サーバの管理者が代行することで、生成されます。
ウェブ・サーバがCSRを生成する機能を可能にしたならば、コントロールパネル(Ensim、Plesk、CPanel)で自らCSRを生成することができます。
''生成されるCSRは、同一な物はありません。''
同じ情報で同じ手順でCSRを再度作成しても、二度と同一のCSRを作成することは出来ません。
''CSRの中にどんな情報がありますか?''
以下にCSRを生成するのに必要な情報の例があります。
| フィールド | 説明 | 例 |h
| Common Name | Webサーバの完全なドメイン名 (FQDN)です。この名前は完全一致が必要となります。 | URL https://www.onlinessl.jpの安全性を確保するつもりならば、あなたのCSRのコモンネームはwww.onlinessl.jpでなければなりません |
| Organization | 組織の法律上の正式名称です。この名前は省略できません。ケープコッド株式会社 | CapeCod K.K. |
| Organization Unit | 部署名 | SSL section |
| City or Locality | 法律上、組織が置かれている市区町村です。 | Tokorozawa |
| State or Province | 法律上、組織が置かれている都道府県です。省略できません。 | Saitama |
| Country | 組織が存在する国を示す2文字のISO略語です。 | JP |
''コモンネームについて''
コモンネーム(CN)は、SSL接続の際にブラウザにアドレスとして入力するURL (FQDN) を指定します。
''コモンネームの例''
・www.mydomain.com
・secure.mydomain.com
・mail.mydomain.com
・mydomain.com
・checkout.mydomain.com
・sales.mydomain.com
''コモンネームには、wwwを使わなければなりませんか?''
https://www.domain.com の安全性を確保するつもりならば、CSRのコモンネームは www.domain.comでなければなりません。
ユーザーがブラウザでアクセスするURLと正確に一致しなければならないということです。
''Tips:'' CSRにおいて次の文字を使うことができません: < > ~ ! @ # $ % ^ * / \ ( ) ? &
&color(red){(例外:ワイルドカード証明書のために * を使用できます。)};また、http:// または https:// をCSRに含めないでください。
''CSRは、どのように見えますか?''
組織名や組織の所在地などの情報は、証明書のCSR(署名要求)を生成するために ウェブ・サーバによって使用されます。このように見えるコードのブロックです:
CSR サンプル
-----BEGIN CERTIFICATE REQUEST-----
MIIB5jCCAU8CAQAwgaUxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdHZW9yZ2lhMRAw
DgYDVQQHEwdEZWNhdHVyMRkwFwYDVQQKExBXYXZlUGF0aCBIb3N0aW5nMQ4wDAYD
VQQLEwVTYWxlczEgMB4GA1UEAxM8998yoi8ikjndhdmVwYXRoaG9zdGluZy5jb20xJTAj
BgkqhkiG9w0BCQEWFnNjb3R0LnJvZ2Vyc0BhdHRiaS5jb20wgZ8wDQYJKoZIhvcN
AQEBBQADgY0AMIGJlkjlkjlkjljlkjlkjkjMI7XNI+1Kq50n4gOiDIYanhtzwMFS8iq6VoRATs
nQuFoBK2FQ52qpBkDneHL02HdVk82vDVRjRaRcAM2DKZwCkLzbhhjO3rom76bYzl
vSxcCUKoCWKpvnpCDXssr6V5sa1B1APMhxU/WRml6Oa7ycTkAUMs3HBZla0NfDcD
AgMBAAGgADANBgkqhkilkjoijkLkf9kj$HiulkIKJjeijaoejljoj3v/Xsn04LCQn/oQjD/9ID8FuQA
kshzHERuBwRnPo5K8Yv1VVBp9+yPsE527F/K2blU85/TBhkMUDFNhNL3VQJJDOXI
7fQCnBVO+ClqVA==
-----END CERTIFICATE REQUEST-----
''どのようにCSRを生成しますか?''
どのようにCSRを生成するかは、ウェブサーバのタイプに左右されます。特定のサーバーのためのCSR生成方法はここで見つけることができます。
''CSRをペーストするとき、何を含めなければなりませんか?''
----- BEGIN CERTIFICATE REQUEST----- で始まり
----- END CERTIFICATE REQUEST----- で終わります
申し込みフォームに CSRをペーストするとき、これらは含まれなければなりません。
* リンク [#x3ab7ae0]
[[PKI]]
[[SSL]]
[[認証局]]
