いつも忘れてしまうのでメモします。

K を秘密鍵のファイル名、C をCSRのファイル名とすると、

openssl genrsa -out K 2048

openssl req -new -sha256 -key K -out C

でOK。「2048」は鍵の長さ。最近は2048ビットが普通です。

ただし、上記はパスフレーズを設定しないパターン。設定する場合は、-des3 オプションを付けます。

openssl genrsa -out K -des3 2048

openssl req -new -key K -out C

CSRの作成はこんな風に進みます:

Country Name (2 letter code) [AU]:JP

State or Province Name (full name) [Some-State]:Tokyo

Locality Name (eg, city) []:Minato-ku

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Oiax Inc.

Organizational Unit Name (eg, section) []:Example

Common Name (eg, YOUR name) []:example.com

Email Address []:
Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

ポイントは、以下の3点:

• 「Organization Unit Name」に何でもいいから文字列（部署名、サービス名、等）を入力すること
• 「Common Name」にドメイン名を入力すること
• 「Email Address」以降はすべて空でOKであること

作られたCSRはテキストファイルなので、それをコピーして、SSL証明書の申請フォームに貼り付けてください。

CSRの内容を確認するコマンドは次の通り:

openssl req -text -noout -in C