Info |
---|
Diese Seite befindet sich aktuell noch im Aufbau |
UI Text Box | ||||
---|---|---|---|---|
| ||||
Wie Sie einen CSR (Certificate Signing Request, deutsch: Zertifikatsignierungsanforderung) unter Linux (hier: Ubuntu) erstellen, erfahren Sie in den 4 Schritten der Schritt-für-Schritt-Anleitung. |
Um ein Nutzerzertifikat von einer CA (Certificate Authority) anzufordern, muss ein "Certificate Signing Request" (CSR) erstellt werden. Ein CSR ist ein digitaler Antrag, aus einem öffentlichen Schlüssel ein digitales Zertifikat zu erstellen. Voraussetzung hierfür ist wiederum ein privater Schlüssel.
Schritt-für-Schritt-Anleitung
Privaten Schlüssel erzeugen
Info | ||
---|---|---|
| ||
Der private Schlüssel sollte immer auf eigens verwalteten Systemen erzeugt und gespeichert werden und niemals Dritten in die Hände gegeben werden - auch nicht der signierenden CA. |
...
1. Öffnen Sie ein → „Terminal“-Fenster. Im folgenden Beispiel soll der private Schlüssel als /etc/ssl/private/private.keypem erzeugt werden. Da normale Benutzer auf diesen Ordner keinen Zugriff haben, sollte sollten Sie sich zunächst ein Root-TerminalZugriffsrechte mittels
Codeblock | ||||
---|---|---|---|---|
| ||||
sudo -i |
geöffnet werdenverschaffen.
2. Der private Schlüssel wird nun mit dem folgenden Kommando erzeugt:
Codeblock | ||||
---|---|---|---|---|
| ||||
openssl ecparam genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out /etc/ssl/private/private.key -name secp521r1 -genkeypem |
Info | ||
---|---|---|
| ||
Mit Empfehlung:
Grund: Nutzerzertifikate Bei Nutzerzertifikaten ist zu beachten, dass Zertifikate mit den ECC-Schlüsseltypen |
Info | |||||||
---|---|---|---|---|---|---|---|
| |||||||
Das o.g. Kommando erzeugt einen privaten Schlüssel, der nicht durch ein Passwort geschützt ist. Das ist notwendig, da z.B. Apache-Server sonst bei jedem Neustart die manuelle Eingabe des Passworts verlangen würde oder diese in der Konfiguration im Klartext hinterlegt werden müsste. Wenn Sie Ihren privaten Schlüssel dennoch zusätzlich mit einem Passwort versehen möchten, geben Sie stattdessen folgendes Kommando und anschließend das zu vergebende Passwort ein:
Das Passwort muss mindestens 4 Zeichen lang sein. |
3. Beenden Sie den Root-Zugriff indem Sie
Codeblock | ||||
---|---|---|---|---|
| ||||
exit |
eingeben.
CSR erzeugen
Als nächstes kann nun der CSR erzeugt werden. Dieser beinhaltet keine sensiblen Daten und kann deshalb an einer beliebigen Stelle erstellt werden, wo man ihn später wieder findet. Im folgenden Beispiel wird der CSR im eigenen Heimatverzeichnis abgelegt.
Codeblock | ||||
---|---|---|---|---|
| ||||
sudo openssl req -new -key /etc/ssl/private/private.keypem -out ~/public.csr |
Nach Bestätigen des Befehls mit der Eingabetaste werden Details zum Inhalt des Zertifikates abgefragt. Füllen Sie das Formular wie im Beispiel unten aus.
...
Denken Sie unbedingt daran, die richtige E-Mail-Adresse ( vorname.nachname@hhu.de ) anzugeben!!
Info | ||
---|---|---|
| ||
|
...