FAQ - CSR (Zertifikatrequest) erstellen - OpenSSL

Wir möchten Ihnen in hier eine kurze Anleitung bieten, wie Sie eine Zertifikatsanforderung (CSR) mit Hilfe der OpenSSL Software erstellen, die Sie im Anschluss nutzen können um ein SSL/TLS-Zertifikat zu bestellen.

OpenSSL ist unter den meisten Unix/Linux Betriebssystemen bereits vorhanden oder kann mittels des integrieren Paketmanagers nachinstalliert werden. Sie erhalten Sie außerdem unter openssl.org.
Bereits kompilierte Versionen für Windows und Solaris gibt es unter: openssl.org/community/binaries.html

Sollten Sie den IIS nutzen, können Sie auch eine der folgenden FAQ nutzen: für ISS 6, für ISS 7.5.

1. Der Schlüssel (Private Key)

Jedes Zertifikat hat einen zugehörigen Schlüssel, wer den Schlüssel hat kann sich als die im Zertifikat angegebene Organisation / Domain ausgeben. Daher ist dieser auf jeden Fall Geheim zu halten.

1.1 RSA-Schlüssel (Standard)

Ein Schlüssel wird mit dem folgenden Befehl erzeugt:

openssl genrsa -out key.pem 2048

Der Schlüssel mit 2048 Bit Schlüsselstärke ist nun in der Datei key.pem gespeichert, welche Sie mit einem einfachen Texteditor lesen können.

1.2 ECC-Schlüssel

Private Schlüssel auf Basis von elliptischen Kurven haben den Vorteil, dass sie mit wesentlich kürzeren Schlüssellängen eine gleichwertige Sicherheit bieten. Der Nachteil ist allerdings die schlechte Unterstützung auf Seite der Clients und Zertifizierungsstellen. Prüfen Sie daher zunächst ob das von Ihnen gewünschte Produkt ECC unterstützt.

Ein ECC-Schlüssel wird mit diesem Befehl erstellt:

openssl ecparam -out key.pem -name prime256v1 -genkey

Anmerkung: Wir nutzen hier die ECC Kurve prime256v1 da sie die am meisten von Softwareimplementierungen unterstützte ist. Eine Übersicht über die Kurven und ihre Unterstützung finden Sie auf der englischen Wikipedia Seite: Comparison of TLS implementations.

2. Der Zertifikatrequest (CSR)

Wir empfehlen bei jeder Verlängerung einen neuen Schlüssel zu generieren.

Die Zertifikatsanfrage (CSR) erstellen Sie nun mit folgendem Befehl:

openssl req -new -key key.pem -out csr.pem

Jetzt werden Sie nach einigen Daten zum Zertifikatsinhaber gefragt. Die folgenden Felder sind hierbei besonders zu beachten:

Passwort:
Bitte setzen Sie kein Passwort und bestätigen die Frage daher einfach mit Enter

Common Name:
In dieses Feld wird der abzusichernde Domainname eingegeben. z.B. www.example.com.
Wenn Sie ein Wildcard-Zertifikat bestellen möchten, geben Sie hier z.B. *.example.com an.

Tipp: Wenn Sie bei uns ein Zertifikat für eine www Subdomain bestellen, wird bei den meisten Produkten automatisch der Domainname ohne www mit in das Zertifikat aufgenommen. Das Zertifikat würde also z.B. www.example.com sowie example.com absichern. Bei unseren Wildcard-Zertifikaten ist der Domainname immer automatisch mit abgedeckt.

Wenn Sie alle Fragen beantwortet haben, erstellt OpenSSL die Datei csr.pem, die Sie wiederum mit einem Texteditor öffnen können und uns den kompletten Block im Bestellprozess mitteilen können. Die Datei csr.pem können Sie nachdem Sie das Zertifikat bestellt haben, wieder löschen. Sollten Sie in Zukunft ein neues Zertifikat benötigen oder das vorhandene verlängern wollen, können Sie die Datei jederzeit wieder mit dem vorherigen Befehl erneut erstellen.

Zum Bestellformular

Nachdem das Zertifikat ausgestellt wurde, müssen Sie es Installieren.
Eine Anleitung finden Sie z.B. hier: SSL-Zertifikat im Apache Webserver Installieren.



Zurück zu den Häufig gestellten Fragen

Core Networks GmbH
Martinsthaler Straße 8a
65345 Eltville am Rhein
Deutschland

Telefon:+49 (0)6123 677326
Fax:+49 (0)6123 677327
E-Mail:info@core-networks.de
HandelsregisterAmtsgericht Wiesbaden
HRB 23708
Geschäftsführer:Michael Scholl
USt-IdNr.DE814384799

Alle Preise verstehen sich inkl. 19% MwSt.

Impressum | AGB | Datenschutz
© Core Networks GmbH