Wie Sie einen CSR (Certificate Signing Request, deutsch: Zertifikatsignierungsanforderung) unter Linux (hier: Ubuntu) erstellen, erfahren Sie in der Schritt-für-Schritt-Anleitung.
Um ein Zertifikat Nutzerzertifikat von einer CA (Certificate Authority) anzufordern, muss ein "Certificate Signing Request" (CSR) erstellt werden. Ein CSR ist ein digitaler Antrag, aus einem öffentlichen Schlüssel ein digitales Zertifikat zu erstellen. Voraussetzung hierfür ist wiederum ein privater Schlüssel.
...
Privaten Schlüssel erzeugen
Info | ||
---|---|---|
| ||
Der private Schlüssel sollte immer auf eigens verwalteten Systemen erzeugt und gespeichert werden und niemals Dritten in die Hände gegeben werden - auch nicht der signierenden CA. |
1. Öffnen Öffnen Sie ein Terminal→ „Terminal“-Fenster. Im folgenden Beispiel soll der private Schlüssel als /etc/ssl/private/private.key erzeugt werden. Da normale Benutzer auf diesen Ordner keinen Zugriff haben, sollte zunächst ein Root-Terminalmittels
Codeblock | ||||
---|---|---|---|---|
| ||||
sudo -i |
geöffnet werden.
2. Der private Schlüssel wird nun mit dem folgenden Kommando erzeugt:
Codeblock | ||||
---|---|---|---|---|
| ||||
openssl ecparam -out /etc/ssl/private/private.key -name secp521r1 -genkey |
Info | ||
---|---|---|
| ||
Mit |
Info | |||||||
---|---|---|---|---|---|---|---|
| |||||||
Das o.g. Kommando erzeugt einen privaten Schlüssel, der nicht durch ein Passwort geschützt ist. Das ist notwendig, da z.B. Apache-Server sonst bei jedem Neustart die manuelle Eingabe des Passworts verlangen würde oder diese in der Konfiguration im Klartext hinterlegt werden müsste. Wenn Sie Ihren privaten Schlüssel dennoch zusätzlich mit einem Passwort versehen möchten, geben Sie stattdessen folgendes Kommando und anschließend das zu vergebende Passwort ein:
|
...
Als nächstes kann nun der CSR erzeugt werden. Dieser beinhaltet keine sensiblen Daten und kann deshalb an einer beliebigen Stelle erstellt werden, wo man ihn später wieder findet.
...
Nach Bestätigen des Befehls mit der Eingabetaste werden Details zum Inhalt des Zertifikates abgefragt. Füllen Sie das Formular wie im Beispiel unten aus.
Manche Einträge sind → //optional und können mit der Eingabetaste übersprungen werden.
Denken Sie unbedingt daran, die richtige E-Mail-Adresse (vorname.nachname@hhu.de) anzugeben!!
Info | ||
---|---|---|
| ||
Common Name: Hier muss der Domainname stehen, für welchen das Zertifikat eingesetzt werden soll (bspw. testseite.hhu.de). |
...
Die Zertifikatsdatei ist fertig und besteht - wie auch der private Schlüssel - aus einer einfachen Text-Datei mit kryptischem Inhalt.
Beispiel:
Codeblock | ||||||
---|---|---|---|---|---|---|
| ||||||
-----BEGIN CERTIFICATE REQUEST----- MIIBhzCB6gIBADBFMQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEh MB8GA1UECgwYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIGbMBAGByqGSM49AgEG BSuBBAAjA4GGAAQBpbiPH0XWzTXy7WP3QGxP5x4yTp5KqV9SQnV5qRkWZqp3fXIe YnN39/MmUYxUNNG/ly970hHYxAeig1k6sFljaVUAlYPVMzMnWbs8GhNioXuA3GnV 5JtiizJ35ABZ5lNGOI1fm8h+DInMsrlGw+Eo21nqSfYV2m5cifMG4tvI/9PZoAWg ADAKBggqhkjOPQQDAgOBiwAwgYcCQU2Pbmg6FKQdtgLUzspUZBKOu3ccxBSvCQlK UDGkguCG9oQF61xSrUg+6z/qRyyiMVuQ/OkAgOHm5Z47lgyRARjBAkIA/VfcpPtR 0WvhsFvTrD8nvgblJGT+kk4jj42gf7n+q71OmtrNh9jTAuzz+fC1F+Taq56KX1Ku 2SKzOn2OSUJBAuY= -----END CERTIFICATE REQUEST----- |
...