OpenSSLでCSRを生成するコマンドは？

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr コマンドでCSRと秘密鍵を同時に生成できます。生成されたserver.csrの内容を証明書申し込みフォームに貼り付けてください。server.keyは秘密鍵なので厳重に管理してください。

SSL証明書の有効期限をOpenSSLで確認するには？

証明書ファイルがある場合は「openssl x509 -enddate -noout -in server.crt」で確認できます。サーバーに接続してリモート確認する場合は「echo | openssl s_client -connect www.example.com:443 2>/dev/null | openssl x509 -enddate -noout」を使います。

秘密鍵と証明書が対応しているか確認する方法は？

秘密鍵・CSR・証明書それぞれに「openssl rsa/req/x509 -modulus -noout -in [ファイル] | openssl md5」を実行し、3つのMD5が一致すれば対応しています。一致しない場合は別の秘密鍵で生成された証明書です。

☎ 048-837-7778

SSL証明書 > FAQ／情報 > OpenSSLコマンド集：CSR生成・証明書確認・有効期限チェックなどよく使うコマンド

【SSL証明書】FAQ／情報

OpenSSLコマンド集：CSR生成・証明書確認・有効期限チェックなどよく使うコマンド

ページ更新日：2026/04/24

SSL証明書の運用でよく使うOpenSSLコマンドをまとめました。
CSR生成、証明書の内容確認、有効期限チェック、PFX変換など、実際の作業で役立つコマンドを掲載しています。
※ # はコメント行です。実際のコマンドでは入力不要です。

CSR（証明書署名要求）の生成

RSA 2048ビット鍵でCSRと秘密鍵を同時生成（最もよく使う）

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

-nodes：秘密鍵にパスフレーズを設定しない（サーバー起動時にパスワード入力が不要）
server.key：秘密鍵ファイル（厳重に保管。外部に漏らさないこと）
server.csr：CSRファイル（認証局への申し込みに使用）

既存の秘密鍵からCSRを生成

openssl req -new -key server.key -out server.csr

CSRの内容を確認

openssl req -text -noout -in server.csr

証明書の確認

証明書の内容を表示（Subject・発行者・有効期限など）

openssl x509 -text -noout -in server.crt

有効期限だけを表示

openssl x509 -enddate -noout -in server.crt

サーバーに接続して有効期限を確認（リモート確認）

echo | openssl s_client -connect www.example.com:443 2>/dev/null | openssl x509 -enddate -noout

証明書チェーン（中間CA証明書含む）を確認

openssl s_client -connect www.example.com:443 -showcerts 2>/dev/null

秘密鍵と証明書の照合

秘密鍵・CSR・証明書が対応しているか確認（MD5ハッシュで一致確認）

# 秘密鍵のMD5
openssl rsa -modulus -noout -in server.key | openssl md5

# CSRのMD5
openssl req -modulus -noout -in server.csr | openssl md5

# 証明書のMD5
openssl x509 -modulus -noout -in server.crt | openssl md5

3つのMD5が一致していれば、秘密鍵・CSR・証明書はセットです。一致しない場合は別の秘密鍵で生成された証明書です。

PFX（PKCS#12）形式への変換

証明書と秘密鍵をPFXファイルにまとめる

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile intermediate.crt

IISやAzureなどでよく使われる形式です。
エクスポートパスワードの設定を求められます。
-certfile intermediate.crt：中間CA証明書を含める場合に指定

PFXファイルから証明書と秘密鍵を取り出す

# 証明書を取り出す
openssl pkcs12 -in server.pfx -nokeys -out server.crt

# 秘密鍵を取り出す
openssl pkcs12 -in server.pfx -nocerts -nodes -out server.key

サーバー設定の診断

TLSバージョン・暗号スイートの確認

openssl s_client -connect www.example.com:443 -tls1_2 2>/dev/null | grep "Protocol\|Cipher"

OCSP Stapling の確認

openssl s_client -connect www.example.com:443 -status 2>/dev/null | grep "OCSP"

SANs（Subject Alternative Names）の確認

openssl x509 -text -noout -in server.crt | grep -A 1 "Subject Alternative Name"

よく使うオプション一覧

オプション	説明
`-text`	内容を人が読める形式で表示
`-noout`	Base64のエンコード済み出力を省略
`-nodes`	秘密鍵をパスフレーズなしで生成・出力
`-in [ファイル]`	入力ファイルを指定
`-out [ファイル]`	出力ファイルを指定
`rsa:2048`	RSA 2048ビット鍵（現在の標準。4096も可）

FAQ／情報 SSL証明書