Wie Sie einen CSR (Certificate Signing Request, deutsch: Zertifikatsignierungsanforderung) unter Linux (hier: Ubuntu) erstellen, erfahren Sie in der Schritt-für-Schritt-Anleitung.
Um ein Zertifikat von einer CA (Certificate Authority) anzufordern, muss ein "Certificate Signing Request" (CSR) erstellt werden. Voraussetzung . Ein CSR ist ein digitaler Antrag, mittels einer digitalen Signatur aus einem öffentlichen Schlüssel ein digitales Zertifikat zu erstellen. Voraussetzung hierfür ist wiederum ein privater Schlüssel.
Schritt-für-Schritt-Anleitung
Privaten Schlüssel erzeugen
Info | ||
---|---|---|
| ||
Der Schlüssel sollte immer auf eigens verwalteten Systemen erzeugt und gespeichert werden und niemals Dritten in die Hände gegeben werden - auch nicht der signierenden CA. |
Öffnen Sie ein Terminal-Fenster.
Im folgenden Beispiel soll der private Schlüssel als /etc/ssl/private/test.key erzeugt werden. Da normale Benutzer auf diesen Ordner keinen Zugriff haben, sollte zunächst ein Pseudo-Root-Terminalmittels
Codeblock | ||||
---|---|---|---|---|
| ||||
sudo -i |
geöffnet werden.
Der private Schlüssel wird nun mit dem folgenden Kommando erzeugt:
Im Beispiel wird zunächst der private Schlüssel privatetest.key mit folgendem Kommando im Ordner Downloads erzeugt:
Codeblock | ||||
---|---|---|---|---|
| ||||
sudo openssl ecparam -out /etc/ssl/private/test.key -name secp521r1 -genkey |
Mit -name secp521r1
wird der zu verwendende Verschlüsselungs-Algorithmus festgelegt. Bei Nutzerzertifikaten ist zu beachten, dass Zertifikate mit den ECC-Schlüsseltypen secp384r1
und secp256k1
nur für Signatur und Authentisierung, aber nicht für Verschlüsselung verwendet werden können.
CSR erzeugen
Als nächstes kann nun der CSR private.csr erzeugt werden. Dieser beinhaltet keine sensiblen Daten und kann deshalb an einer beliebigen Stelle erstellt werden, wo man ihn später wieder findet.
Codeblock | ||||
---|---|---|---|---|
| ||||
sudo openssl req -new -key /home/[Benutzername]/Downloads/private.key -out ~/private.csr |
...
Info | ||
---|---|---|
| ||
Common Name: Hier muss der Domainname stehen, für welchen das Zertifikat eingesetzt werden soll (bspw. testseite.hhu.de). |
...