OpenSSL - CSR Erstellen

Ein CSR (Certificate Signing Request) ist für die Beantragung eines SSL-Zertifikats erforderlich. Das CSR (und der privater Schlüssel) kann auf Ihrem Webserver generiert werden. Um ein Wildcard-Zertifikat anzufordern, füllen Sie ein * (Sternchen) für die Subdomain, z. b. * sslcertificaten.nl (anstelle von www.sslcertificates.nl) aus.

Allgemeine Informationen

OpenSSL ist ein Kommandozeilenprogramm zum Erstellen und Verwalten von Zertifikaten, das häufig von UNIX-, Linux- und BSD-Distributionen verwendet wird. Es wurde auch auf Windows portiert. Es wird in Kombination mit vielen Serverprodukten verwendet, darunter Apache, Lighttpd, mehreren Routern und anderer Hardware. In dieser Anleitung wird beschrieben, wie Du OpenSSL verwenden kannst, um einen RSA- oder EEC-privaten Schlüssel und CSR zu erstellen.

Es ist praktisch, alle Dateien und Schlüssel in einem zentralen Ordner zu speichern. Der für diesen Zweck verwendete Ordner variiert je nach Betriebssystem. Als Beispiel verwenden wir / /etc/ssl/cert/ in dieser Anleitung. Es ist äußerst wichtig, dass dieser Ordner ausreichend geschützt ist!

Es ist ratsam, sich über SSH auf dem Server anzumelden, so dass das CSR einfach in den Webbrowser kopiert werden kann, um eine Anfrage zu senden.

Erstellen der CSR mit dem OpenSSL Befehl

  1. Verbinde Dich mit dem Server über einer SSH-Verbindung und melden Dich als Root-Benutzer an. Verwenden den Befehl cd, um zu dem Ordner zu navigieren, in dem die Zertifikate gespeichert werden sollen: cd /etc/ssl/certs/

CSR mit RSA privaten Schlüssel

  1. Der folgende Befehl kann verwendet werden, um den SHA1 RSA Key und CSR zu generieren: openssl req -utf8 -nodes -newkey rsa:2048 -keyout www_sslcertificaten_nl.key -out www_sslcertificaten_nl.csr
  2. Für die Generierung der CSR mit einem SHA2' Hash, wird der -SHA256-Tag dem Befehl hinzugefügt: openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout www_sslcertificaten_nl.key -out www_sslcertificaten_nl.csr

CSR mit ECC privaten Schlüssel

  1. Wenn ein ECC-Schlüssel benötigt wird, müsst Du zwei Befehle eingeben. Einer für die Erstellung des Schlüssels und der 2. für das CSR: openssl ecparam -out server.key -name prime256v1 -genkey openssl req -new -key server.key -out server.csr

Ausfüllen der CSR-Felder

  1. Hinweis: Ersetze www_sslcertificaten_nl mit dem Domain-Namen, für dass das Zertifikat beantragt wird.
  2. Du wirst nun aufgefordert, einige Daten einzugeben, die für die Anwendung des SSL-Zertifikats verwendet werden. Es ist wichtig, dass diese Informationen den Whois-Informationen des Domainnamens entsprechen (was wiederum den Daten der Handelskammer entsprechen muss). Bei einigen Feldern wird zwischen den Klammern ein Standardwert angezeigt ([Standardwert])Country Name (2 letter code) [AU]: DE
  3. State or Province Name (full name) [Some-State]: Nord Rhein WestfalenLocality Name (eg, city) []: Köln
  4. Organization Name (eg, company) [Internet Widgits Pty Ltd]: Der Firmenname
  5. Organizational Unit Name (eg, section) []: ITCommon Name (eg, YOUR name) []: www.domainname.deEmail Address []:A challenge password []:An optional company name []:Für den Common Name (CN) solltest Du den Namen des Webservers auf dieselbe Weise eingeben, wie der Client es adressiert. In den meisten Fällen ist dies der vollständige Domain-Name, wie zum Beispiel: www.deindomainname.deHinweis: Lass dich nicht durch den (eg, YOUR name) verwirren. Du musst hier nicht deinen eigenen Namen eingeben.Wenn Du aufgefordert wirst, ein Challenge-Passwort einzugeben, kannst Du diesen Schritt überspringen durch Drücken der Entertaste. Wenn Du ein Challenge-Passwort eingibst, wirst Du immer aufgefordert, es beim Starten des Webservers einzugeben.
  6. OpenSSL erzeugt zwei Dateien: den privaten Schlüssel (mit dem Namensformat www_sslcertificaten_nl.key) und das CSR (mit dem Namensformat www_sslcertificaten_nl.csr).
  7. Sichere die Zertifikatsdateien, so dass niemand außer dem Root-Benutzer Zugriff darauf hat: [root@server cert]# chmod 600 *.key *.csr
  8. Das CSR kann nun mit dem cat-Befehl angezeigt werden :: [root@server cert]# cat www_sslcertificaten_nl.csr Die Felder Email Address, Optional company name and Challenge password können bei der Beantragung eines Webserverzertifikats leer gelassen werden.

Um ein Zertifikat zu bestellen, kopieren Sie den gesamten Inhalt des erzeugten CSR, einschließlich der ersten und letzten Zeile und aller Bindestriche.

Zertifikat bestellen

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.