FAQ - Wie erstelle ich eine Zertifikatsanforderung für Client-Zertifikate (S/MIME) mit OpenSSL?
In dieser FAQ möchten wir Ihnen eine Kurzanleitung geben, wie Sie mittels OpenSSL eine Zertifikatsanforderung (CSR) für Client-Zertifikate, die z.B. für S/MIME verwendet werden können, erstellen.
Schritt 1
Öffnen Sie die Konsole und navigieren Sie zu dem Verzeichnis in welchem der Private Schlüssel sowie die Zertifikatsanforderung erstellt werden sollen. Achten Sie darauf das ausschließlich Sie Lesezugriff auf den Ordner haben.
Schritt 2
Starten Sie nun OpenSSL mit folgendem Befehl und Parametern:
openssl req -newkey rsa:2048 -keyout client-key.pem -out client-csr.pem
| openssl | OpenSSL Kommandozeilenbefehl |
| req | Wir arbeiten mit Zertifikatsanforderungen (CSR) |
| -newkey rsa:2048 | Es soll ein neuer Private Schlüssel vom Typ RSA mit 2048 Bit erstellt werden. |
| -keyout client-key.pem | Der neu erstellte Schlüssel soll in der Datei "client-key.pem" gespeichert werden. |
| -out client-csr.pem | Die Zertifikatsanforderung soll in der Datei "client-csr.pem" gespeichert werden. |
Schritt 3
Es wird nun der Private Schlüssel erstellt und einige Daten zum Zertifikatsinhaber abgefragt. Diese Daten müssen mit den Daten in der Bestellung übereinstimmen.
Hinweise zu den Feldern:
| Enter PEM pass phrase: | Mit diesem Passwort wird der Private-Schlüssel verschlüsselt. Da es hier keinen Schutz vor Brute-Force Angriffen gibt, wählen Sie ein möglichst langes Passwort. |
| Verifying - Enter PEM pass phrase: | Geben Sie nochmal das selbe Passwort ein. Dies dient zum Abfangen von Tippfehlern. |
| Country Name (2 letter code) [DE]: | Benutzen Sie unbedingt Großbuchstaben. |
| Common Name (e.g. server FQDN or YOUR name) []: | Je nachdem welches Produkt Sie bestellen, sind hier unterschiedliche Inhalte notwendig: PersonalSign 1: Tragen Sie die E-Mail-Adresse ein für die das Zertifikat ausgestellt werden soll. PersonalSign 2: Tragen Sie Ihren Namen ein. PersonalSign 2 Pro: Tragen Sie Ihren Namen ein. PersonalSign 2 Department: Tragen Sie den Namen der Abteilung ein. |
| Email Address []: | Geben Sie in dieses Feld die E-Mail-Adresse ein für die das Zertifikat ausgestellt werden soll. |
| A challenge password []: | Dieses Passwort lassen Sie bitte auf jeden Fall leer. |
Wenn Felder nicht in die Zertifikatsanforderung aufgenommen werden sollen können Sie diese mit einem Punkt "." übergehen.
Schritt 4
Nach Beantwortung aller Fragen sollten Sie nun zwei neue Dateien in Ihrem Verzeichnis haben. Beide Dateien sind einfache Textdateien und können mit jedem beliebigen Editor geöffnet bzw. angezeigt werden.
client-key.pem
Diese Datei enthält den Privaten-Schlüssel. Auch wenn Sie ein Passwort für den Privaten-Schlüssel festgelegt haben. Sollten Sie diese Datei immer sicher aufbewahren. Zudem Empfehlen wir die Erstellung einer Sicherungskopie auf einem externen Speichermedium das im Idealfall in einem Safe gelagert wird.
client-csr.pem
Diese Datei enthält die Zertifikatsanforderung, die Sie während einer Bestellung benutzen können um das passende Zertifikat zu erhalten.