Request erzeugen
In diesem Beispiel zeigen wir Ihnen, wie Sie mit OpenSSL einen Zertifikatsrequest (CSR) auf Unix- und Linux-Betriebssystemen erzeugen können.
Wenn Sie den Request auf einem anderen System erzeugen, schauen Sie sich bitte dennoch Schritt 2 dieses Artikel an, damit Sie die richtigen Attributwerte in Ihren Request schreiben.
Alternative Domainnamen müssen nicht unbedingt in den CSR aufgenommen werden sondern können auch später auf der Antragsseite einfach ergänzt werden.
Schritt 1
Zunächst wird der "private key" für das Zertifikat generiert, mit dem auch der Request erstellt wird. Diesen Key auf keinen Fall weitergeben!
Als Schlüssellänge empfehlen wir 4096 Bit.
Öffnen Sie eine Shell und gehen Sie folgendermaßen vor:
Schritt 2
Setzen Sie danach folgenden Befehl ab, um den Zertifikatsrequest zu erstellen:
Nach Absetzen des Befehls werden einige Attributwerte abgefragt. Bitte schreiben Sie alle Angaben (bis auf das Länderkürzel) komplett aus. Beachten Sie, dass bei "Common Name" der Servername, für den das Zertifikat ausgestellt werden soll und unter dem auch z.B. der Webserver erreichbar ist, korrekt ausgefüllt ist.
Passen Sie alle fett markierten Attribute an.
Beispiel:
Damit ist der CSR erstellt und Sie können das Zertifikat im nächsten Schritt beantragen / den Request einreichen.
Alternative Domainnamen können über diesen Befehl ebenfalls im CSR aufgenommen werden. Dies ist aber auch auf der Antragsseite problemlos möglich, nachdem Sie den Request dort hochgeladen haben.
Wenn Sie den Request auf einem anderen System erzeugen, schauen Sie sich bitte dennoch Schritt 2 dieses Artikel an, damit Sie die richtigen Attributwerte in Ihren Request schreiben.
Alternative Domainnamen müssen nicht unbedingt in den CSR aufgenommen werden sondern können auch später auf der Antragsseite einfach ergänzt werden.
Schritt 1
Zunächst wird der "private key" für das Zertifikat generiert, mit dem auch der Request erstellt wird. Diesen Key auf keinen Fall weitergeben!
Als Schlüssellänge empfehlen wir 4096 Bit.
Öffnen Sie eine Shell und gehen Sie folgendermaßen vor:
openssl genrsa -out private.key 4096
Schritt 2
Setzen Sie danach folgenden Befehl ab, um den Zertifikatsrequest zu erstellen:
openssl req -new -sha256 -nodes -key private.key -out cert.csr
Nach Absetzen des Befehls werden einige Attributwerte abgefragt. Bitte schreiben Sie alle Angaben (bis auf das Länderkürzel) komplett aus. Beachten Sie, dass bei "Common Name" der Servername, für den das Zertifikat ausgestellt werden soll und unter dem auch z.B. der Webserver erreichbar ist, korrekt ausgefüllt ist.
Passen Sie alle fett markierten Attribute an.
Beispiel:
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Hagen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FernUniversitaet in Hagen
Organizational Unit Name (eg, section) []:Zentrum fuer Digitalisierung und IT
Common Name (eg, YOUR name) []:testserver.fernuni-hagen.de
Email Address []:webmaster@testserver.fernuni-hagen.de
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Hagen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:FernUniversitaet in Hagen
Organizational Unit Name (eg, section) []:Zentrum fuer Digitalisierung und IT
Common Name (eg, YOUR name) []:testserver.fernuni-hagen.de
Email Address []:webmaster@testserver.fernuni-hagen.de
Damit ist der CSR erstellt und Sie können das Zertifikat im nächsten Schritt beantragen / den Request einreichen.
Alternativen
Der Zertifikatsrequest (CSR) kann auch mit einer Zeile erstellt werden. Hierzu im Folgenden die fett markierten Attribute anpassen:
openssl req -new -sha256 -nodes \
-subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Digitalisierung und IT/CN=testserver.fernuni-hagen.de/emailAddress=webmaster@testserver.fernuni-hagen.de' \
-key private.key > cert.csr
Alternative Domainnamen können über diesen Befehl ebenfalls im CSR aufgenommen werden. Dies ist aber auch auf der Antragsseite problemlos möglich, nachdem Sie den Request dort hochgeladen haben.
openssl req -new -sha256 -nodes \
-subj '/C=DE/ST=Nordrhein-Westfalen/L=Hagen/O=FernUniversitaet in Hagen/OU=Zentrum fuer Digitalisierung und IT/CN=testserver.fernuni-hagen.de/emailAddress=webmaster@testserver.fernuni-hagen.de' \
-addext 'subjectAltName = DNS:testserver-2ter-name.fernuni-hagen.de' \
-key private.key > cert.csr