5.2.2 Webサーバの秘密鍵の作成
openssl.batコマンドまたはopenssl.shコマンドを使用して,Webサーバの秘密鍵を作成します。暗号種別ごとにWebサーバの秘密鍵を作成する方法を示します。
- 〈この項の構成〉
(1) RSA暗号を利用する場合(openssl.bat genrsaコマンドまたはopenssl.sh genrsaコマンド)
openssl.bat genrsaコマンドまたはopenssl.sh genrsaコマンドを使用して,Webサーバの秘密鍵を作成します。作成したWebサーバの秘密鍵のファイルは,SSLCertificateKeyFileディレクティブに指定します。
秘密鍵は,PKCS#1に準拠した形式で作成されます。
(a) 形式
Windowsの場合
openssl.bat genrsa -rand ファイル名 -out 鍵ファイル 〔1024|2048|4096〕
UNIXの場合
openssl.sh genrsa -rand ファイル名〔:ファイル名…〕 -out 鍵ファイル 〔1024|2048|4096〕
(b) オペランド
-
-rand ファイル名(Windowsの場合)
-
-rand ファイル名〔:ファイル名…〕(UNIXの場合)
乱数生成に利用する任意のファイルを指定します。乱数生成用のファイルは,十分大きい適当なファイルを指定してください。Windows版では,ファイル名は一つだけ指定できます。複数指定はできません。
-
-out 鍵ファイル
Webサーバの秘密鍵を出力するファイルを指定します。
-
〔1024|2048|4096〕
作成するWebサーバの秘密鍵のビット長を指定します。
(c) 使用例
Webサーバの秘密鍵httpsdkey.pemをPKCS#1に準拠した形式で作成します。
Windowsの場合
openssl.bat genrsa -rand file1 -out httpsdkey.pem 2048
file1:任意のファイル
UNIXの場合
openssl.sh genrsa -rand file1:file2:file3:file4:file5 -out httpsdkey.pem 2048
file1,file2,file3,file4,file5:任意のファイル
(2) 楕円曲線暗号を利用する場合(openssl.bat ecparamコマンドまたはopenssl.sh ecparamコマンド)
openssl.bat ecparamコマンドまたはopenssl.sh ecparamコマンドを使用して,Webサーバの秘密鍵を作成します。作成したWebサーバの秘密鍵のファイルは,SSLCertificateKeyFileディレクティブに指定します。
(a) 形式
Windowsの場合
openssl.bat ecparam -genkey -noout -rand ファイル名 -name 楕円曲線名 -out 鍵ファイル
UNIXの場合
openssl.sh ecparam -genkey -noout -rand ファイル名〔:ファイル名 …〕 -name 楕円曲線名 -out 鍵ファイル
(b) オペランド
-
-rand ファイル名(Windowsの場合)
-
-rand ファイル名〔:ファイル名…〕(UNIXの場合)
乱数生成に利用する任意のファイルを指定します。乱数生成用のファイルは,十分大きい適当なファイルを指定してください。Windows版では,ファイル名は一つだけ指定できます。複数指定はできません。
-
-name 楕円曲線名
秘密鍵の生成に利用する楕円曲線名を指定します。次の楕円曲線暗号のうちのどれか一つを指定してください。
-
secp384r1
-
secp521r1
-
prime256v1
-
P-256
-
P-384
-
P-521
-
-
-out 鍵ファイル
Webサーバの秘密鍵を出力するファイルを指定します。
(c) 使用例
楕円暗号を利用した秘密鍵httpsdkey.pemを作成します。Webサーバで秘密鍵を利用する場合は,httpsdkey.pemをPKCS#8形式に変換してください。
Windowsの場合
openssl.bat ecparam -genkey -noout -rand file1 -name P-256 -out httpsdkey.pem
file1:任意のファイル
UNIXの場合
openssl.sh ecparam -genkey -noout -rand file1:file2:file3:file4:file5 -name P-256 -out httpsdkey.pem
file1,file2,file3,file4,file5:任意のファイル