SSL証明書の発行に必要なCSR(Certificate Signing Request)の作成手順です。
CSRの作成にはopenSSLを使用しています。
openSSLはAmazonLinuxに標準で搭載されているのでそれを利用しました。
まずは擬似乱数情報の作成します。
$ openssl md5 * > rand.dat
作成した擬似乱数情報を使用して秘密鍵を作成します。
下記のコマンドでは鍵長は2048bitを指定します。
$ openssl genrsa -rand rand.dat -des3 2048 > privateKey.pem
コマンドを実行すると設定する秘密鍵のパスワードを求められるので設定します。
続いてCSRの作成します。
下記のコマンドを実行するとCSRの署名に必要な情報入力を求められます。
$ openssl req -new -key privateKey.pem -out csr.pem
「Common Name」迄は必須なので入力します。
それ以降は基本的に不要なので未入力でEnterを押します。
ここまででCSRの作成が完了です。
このCSRをサーバ証明書を発行しているサービスに提供します。
そのサーバ証明書と今回作成した秘密鍵をapacheなりELBなりに設定します。
なお、秘密鍵はそのままだと扱いづらいのでパスフレーズを解除しておきます。
$ openssl rsa -in privateKey.pem -out privateKeyNoPass.pem
実際に登録する秘密鍵はこちらを使用した方が運用しやすくなります。
apacheとかだと再起動の度にパスワードを聞かれます。
ちなみに、CSRの中身を確認するには下記のコマンドで可能です。
$ openssl req -in csr.pem -text
各署名情報と鍵長が表示されます。