Classic/VPC環境で利用できます。
NAVERクラウドの Advanced証明書は、申し込み時に入力した CSR内の組織情報(O、L、STなど)と関係なく、既に検証が完了した最新組織情報(Organizationsメニュー基準)を基に証明書を作成します。そのため、CSR作成時に情報をいちいち合わせる煩わしさがなく、簡単に作成できます。
Advanced証明書を発行・再発行する際に CSRを入力する必要があります。本ガイドドキュメントでは、opensslを利用して CSRを作成する方法をご案内します。
CSRの定義
SSL/TLS証明書を発行するには、CSR(Certificate Signing Request)ファイルが必要です。CSRは証明書に含まれる公開キーと所有者情報を盛り込んだファイルです。
1. CSRと情報反映原則のご案内
Advanced証明書は、情報の整合性と正確性を保証するため、証明書に含まれる情報の出典を以下のように分離して運用します。
- 技術規格(公開鍵とアルゴリズム): ユーザーが提出した CSRファイルから抽出して反映します。
- ドメイン情報(CN/SAN): 証明書の申し込みステップでユーザーが入力し、所有権確認(DCV)が完了したドメイン情報を反映します。
- 組織情報(組織名、住所など): Organizationsメニューで事前に検証が完了した公式情報を反映します。
このようなデータ源泉の一元化を通じて、ユーザーは CSR作成時に複雑な情報をいちいち合わせる必要なく、入力ミスによる発行却下なしで速やかに証明書を発行できます。
2. CSR作成方法
DVと OV証明書は、 すべて以下の簡素化されたコマンドを通じて作成できます。CSR内に入力された組織情報と関係なく、最終証明書には検証された公式情報が詰め込まれます。
ターミナルまたはコマンドプロンプトで、次のコマンドを1行で入力して実行します。プライベートキー(example.com.key)と CSR(example.com.csr)ファイルが作成されます。
openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr -subj "/CN=example.com"
- CN=example.comの部分は、証明書を適用する実際のドメインに変更します。
前にご案内した「情報反映原則」に従って、この値は実際の発行時に検証されたドメイン情報に自動的に切り替わります。しかし、コマンドの円滑な実行とユーザーのファイル識別のために実際のドメイン名を入力することをお勧めします。
- その他情報: 国(C)、州(ST)、都市(L)、組織名(O)などの詳細情報は入力しないか、任意の値を入力しても問題ありません。(発行前に事前検証された情報で自動確定)
- new: 新規 CSRを作成します。
- newkey rsa:2048: 2048ビットの RSAプライベートキーを新規作成します。
- nodes: 作成されるプライベートキーを暗号化しません。
- keyout example.com.key: 作成されたプライベートキーのファイル名を指定します。
プライベートキー(Private Key)は、絶対に外部に漏れてはならない個人キーファイルです。管理に注意して、このファイルが漏れたか紛失した場合は証明書を再発行してください。
- out example.com.csr: 作成された CSRのファイル名を指定します。
- subj "/CN=example.com": CSRに含むドメイン情報(CN)を指定します。
3. 作成された CSRファイルを入力
- 作成された.csrファイルをテキストエディタで開きます。
-----BEGIN CERTIFICATE REQUEST-----から-----END CERTIFICATE REQUEST-----までの内容をコピーして「CSR入力」ステップの CSR入力欄に貼り付けます。