Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 2 Nächste Version anzeigen »

Wie Sie einen CSR (Certificate Signing Request, deutsch: Zertifikatsignierungsanforderung) unter Linux (hier: Ubuntu) erstellen, erfahren Sie in der Schritt-für-Schritt-Anleitung.


Um ein Zertifikat von einer CA (Certificate Authority) anzufordern, muss ein "Certificate Signing Request" (CSR) erstellt werden. Ein CSR ist ein digitaler Antrag, mittels einer digitalen Signatur aus einem öffentlichen Schlüssel ein digitales Zertifikat zu erstellen. Voraussetzung hierfür ist wiederum ein privater Schlüssel.

Schritt-für-Schritt-Anleitung

Privaten Schlüssel erzeugen


Hinweis

Der Schlüssel sollte immer auf eigens verwalteten Systemen erzeugt und gespeichert werden und niemals Dritten in die Hände gegeben werden - auch nicht der signierenden CA.


Öffnen Sie ein Terminal-Fenster.

Im folgenden Beispiel soll der private Schlüssel als /etc/ssl/private/test.key erzeugt werden. Da normale Benutzer auf diesen Ordner keinen Zugriff haben, sollte zunächst ein Pseudo-Root-Terminal mittels

Terminal
sudo -i

geöffnet werden.


Der private Schlüssel wird nun mit dem folgenden Kommando erzeugt:

Im Beispiel wird zunächst der private Schlüssel test.key mit folgendem Kommando im Ordner Downloads erzeugt:

Terminal
sudo openssl ecparam -out /etc/ssl/private/test.key -name secp521r1 -genkey

Mit -name secp521r1 wird der zu verwendende Verschlüsselungs-Algorithmus festgelegt. Bei Nutzerzertifikaten ist zu beachten, dass Zertifikate mit den ECC-Schlüsseltypen secp384r1 und secp256k1 nur für Signatur und Authentisierung, aber nicht für Verschlüsselung verwendet werden können.



CSR erzeugen

Als nächstes kann nun der CSR private.csr erzeugt werden. Dieser beinhaltet keine sensiblen Daten und kann deshalb an einer beliebigen Stelle erstellt werden, wo man ihn später wieder findet.

Terminal
sudo openssl req -new -key /home/[Benutzername]/Downloads/private.key -out ~/private.csr


Nach Bestätigen des Befehls mit der Eingabetaste werden Details zum Inhalt des Zertifikates abgefragt. Füllen Sie das Formular wie im Beispiel unten aus. Manche Einträge sind //optional und können mit der Eingabetaste übersprungen werden.


Wenn Sie ein Serverzertifikat beantragen

Common Name:

Hier muss der Domainname stehen, für welchen das Zertifikat eingesetzt werden soll (bspw. testseite.hhu.de).


Terminal
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen 
Locality Name (eg, city) []:Duesseldorf
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Heinrich-Heine-Universitaet Duesseldorf
Organizational Unit Name (eg, section) []:ZIM
Common Name (e.g. server FQDN or YOUR name) []: //optional, z.B. testseite.hhu.de
(der Domainname, wenn Sie ein Serverzertifikat beantragen)
Email Address []:vorname.nachname@hhu.de //(Ihre Mailadresse)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: //optional
An optional company name []: //optional
  • Keine Stichwörter

© 2010-2023 Heinrich-Heine-Universität Düsseldorf · Impressum
Wenn Sie Fehler oder veraltete Inhalte auf diesen Anleitungsseiten finden, schreiben Sie bitte eine E-Mail an helpdesk(at)hhu.de