CSRについて
SSL証明書の発行には必ず必要となるCSR(証明書署名要求)。 このCSRの作成理由について質問をいただくことがあります。
本ブログでは、CSRに関する技術的な解説ではなく、CSRが必要とされる理由に焦点を当てて説明します。
CSRの役目
サーバ情報を安全に伝える役目
- 秘密鍵(KEY)は、セキュリティ上「外部に公開」ができません、しかしSSL証明書の作成にはKEYの情報が必用です
- KEYの情報を伝えるために、「SSL構築に必要な情報」のみで構成されるのがCSRです
- KEYと一致するCSRでSSL証明書が作成されると、結果的にSSL証明書はKEYと一致します
外部に公開できないKEYに代わって、SSL証明書を作成するための「必要な情報」を、SSL認証局に届けます。
結果、KEYとSSLが同じ情報を元に構成されるため、暗号通化通信が可能となります。
どうやって作成しますか?
作成時の注意
CSR作成では、以下の注意が必用です
- ドメイン名はSSLと同じ:「サブドメインの有無」や「wwwの有無」はもちろん、スペルミスにご注意ください
- 日本語で入力しない:アルファベットで入力してください
- 入力不足に注意:必要な項目は、きちんと入力してください
不一致はインストールエラーの原因
SSL証明書の「インストール時」に発生するエラーの多くは、新しく秘密鍵(KEY)を作成したにもかかわらず、「前回作成したCSR」を使用して申請を行ったことによる不一致が原因です。
弊社申請フォームは、「去年のCSR」がフォームに記載されています。 これは「Apache系サーバ」のためです。
「Apache系サーバ」は、毎年同じCSRで申請できますが、セキュリティの関係でKEYを新しく作成した時は、申請時のCSRにご注意ください。
サーバ変更とCSR
旧サーバから秘密鍵(KEY)とSSL証明書を移植するよりも、新サーバ上で新たに作成する方が、エラーの発生が少なくなります。
この場合、CSRも新規に作成されます。
有効期間中にSSL証明書を交換する際は、「新サーバで作成したCSR」を使用して「SSL証明書の再発行」を行う形となります。
IISのバグ
「IIS系サーバ」は、更新を続けると、内容情報が少ないCSRが出来るバグがあります。 その時は新規で作成します。
CSRのためのツール
弊社では以下のツールをご用意しております
その他、質問等がございましたらサポートまでご連絡ください。 連絡フォーム