すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:証明書の形式

    ドキュメントセンター

    Edge Security Acceleration:証明書の形式

    最終更新日:Jan 03, 2025

    Edge Security Acceleration (ESA) では、PEM形式の証明書と秘密鍵のみをアップロードできます。 証明書のアップロードの要件は、認証局 (CA) によって異なります。

    ルートCAによって発行された証明書

    Apache、IIS、NGINX、Tomcatなど、ルートCAによって発行される証明書は一意です。 ESANGINX証明書を使用します。各証明書には、. crtと秘密鍵ファイルの接尾辞. キー.

    証明書の内容を表示するには、NGINXフォルダーを開き、テキストエディターを使用して. crtファイルを作成します。 証明書の内容の例を次の図に示します。

    図 1. 証明書 (PEM形式PEM格式证书)

    証明書アップロードの要件

    • 「 ----- BEGIN certificate ---- 」で始まり、「 ----- END CERTIFICATE ---- 」で終わる証明書のすべてのコンテンツをアップロードする必要があります。

    • 各行には64文字が含まれますが、最後の行には64文字未満の文字が含まれます。

    中間CAによって発行された証明書

    中間CAによって発行される証明書ファイルには、複数の証明書が含まれます。 HTTPSを設定する場合、証明書をアップロードする前に、中間証明書とサーバー証明書を完全な証明書に結合する必要があります。 次の図は、完全な証明書の例を示しています。

    図2. PEM形式拼接后的PEM格式证书の完全な証明書

    証明書チェーンの形式

    中間CAによって発行される証明書は、次の形式です。

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    組み合わせルール

    テキストエディターを使用して、すべての *.PEM証明書ファイルを開きます。 証明書を組み合わせる場合、最初の証明書はサーバー証明書である必要があり、中間証明書はサーバー証明書に従います。 証明書間で空の行は許可されません。 ほとんどの場合、証明書を発行するCAは、命令を提供することができる。 指示に注意してください。

    RSA秘密鍵の形式

    秘密鍵ファイルの拡張子は. pemまたは. キー. 秘密鍵の内容を表示するには、テキストエディターを使用して秘密鍵ファイルを開くことができます。 秘密鍵ファイルの例を次の図に示します。

    図3. RSA秘密鍵RSA格式私钥の形式

    PEM形式のプライベートキー

    • 秘密鍵は、「 ----- BEGIN RSA private key ----- 」で始まり、「 ----- end RSA PRIVATE KEY ---- 」で終わる必要があります。

    • 各行には64文字が含まれますが、最後の行には64文字未満の文字が含まれます。

    秘密鍵のアップロードの要件

    RSA秘密鍵をアップロードする前に、ローカルPCでopenssl genrsa -out privateKey.pem 2048コマンドを実行して秘密鍵を生成します。 privateKey.pemファイルは秘密鍵ファイルです。

    • 秘密鍵は、「 ----- BEGIN RSA private key ----- 」で始まり、「 ----- end RSA PRIVATE KEY ---- 」で終わる必要があります。

    • 各行には64文字が含まれますが、最後の行には64文字未満の文字が含まれます。

    取得した秘密鍵が「 ----- BEGIN private key ----- 」で始まり、「 ----- END PRIVATE KEY ----- 」で終わる場合は、OpenSSLで次のコマンドを実行して形式を変換します。 次に、new_server_key.pemファイルの内容と証明書をアップロードします。 

    openssl rsa -in old_server_key.pem -out new_server_key.pem

    証明書形式の変換

    HTTPS機能はPEM証明書のみをサポートします。 証明書がPEM形式でない場合は、証明書をPEMに変換する必要があります。OpenSSLを使用して証明書形式を変換することを推奨します。 次のセクションでは、証明書をPEM形式に変換する方法について説明します。

    説明

    • CRTファイル名の拡張子は、証明書の略です。 証明書は、PEMまたはDERフォーマットであってもよい。 証明書の形式を変換する前に、変換が必要かどうかを確認してください。

    • PEMはテキスト形式です。 「 ----- BEGIN *** ----- 」で始まり、「 ----- END *** ----- 」で終わります。 これらの行間の内容はBase64-encodedです。 証明書と秘密鍵はこの形式で保存できます。 証明書と秘密鍵を区別するために、PEM形式の秘密鍵ファイルの拡張子は. キー.

    • 証明書をDERからPEMに変換する

      ほとんどの場合、DER形式はJavaに使用されます。

      • 証明書形式を変換する:

        openssl x509 -inform der -in certificate.cer -out certificate.pem

      • 秘密鍵形式を変換する:

        openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

    • 証明書をP7BからPEMに変換する

      ほとんどの場合、Windows ServerとTomcatにはP7B形式が使用されます。

      • 証明書形式を変換する: 

        openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

        outcertificate.cerファイルを開きます。 次に、「 ----- BEGIN CERTIFICATE ---- 」で始まり、「 ----- END CERTIFICATE ---- 」で終わるコンテンツをコピーしてアップロードします。

      • 秘密鍵形式を変換する:

        P7B形式の証明書には秘密鍵は含まれません。 ESAコンソールでP7B証明書を設定する場合は、証明書情報のみを指定する必要があります。

    • 証明書をPFXからPEMに変換する

      ほとんどの場合、PFX形式はWindows Serverで使用されます。

      • 証明書形式を変換する: 

        openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

      • 秘密鍵形式を変換する: 

        openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes