CSR-Erstellung Apache: Unterschied zwischen den Versionen

Auf dieser Seite wird erklärt, wie Sie eine Zertifikatsregristrierungsanforderung (Certificate Signing Request - CSR) mit OpenSSL erstellen können. Im CSR wird ihr öffentlicher Schlüssel (Public Key - PK) angegeben sowie weitere Informationen für das jeweilige Zertifikat, insbesondere der zu verwendene Domain-Name als Common Name (CN) sowie die Kontaktdaten des Antragstellers. Mit diesen Daten aus dem CSR kann Ihnen nach Prüfung und Genehmigung die Zertifizierungsstelle (Certificate Authority - CA) das Zertifikat ausstellen.

Dateiformat Certificate Signing Request (.csr)

Erstellung Private Key (PK)

1. Öffnen Sie eine Terminal-Verbindung zu Ihrem Apache-Webserver und melden Sie sich dort an.
2. Geben Sie folgenden Befehl ein: <source lang=xml>openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout private.key -out server.csr</source>
3. Es erscheint folgende Ausgabe: <source lang=xml enclose="div">Generating a 2048 bit RSA private key

..+++
..........................+++
writing new private key to 'private.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:</source>

1. Ihr Private Key ist nun erstellt und wurde in der Datei private.key im selben Verzeichnis gespeichert. Heben Sie diese Datei gut auf und veröffentlichen diese keinesfalls im Internet!

Erstellung Certificate Signing Request (CSR)

1. Geben Sie als nächstes Ihren zweistelligen Ländercode ein, z.B. DE für Deutschland, und drücken Enter. <source lang=xml enclose="div">Country Name (2 letter code) [AU]:DE</source>
2. Geben Sie dann Ihr Bundesland in voller Schreibweise an: <source lang=xml enclose="div">State or Province Name (full name) [Some-State]:Nordrhein-Westfalen</source>
3. Geben Sie nun den Namen Ihrer Stadt ein, z.B. Bonn, und drücken Enter. <source lang=xml enclose="div">Locality Name (eg, city) []:Bonn</source>
4. Geben Sie als nächstes den Namen Ihrer Organisation ein, z.B. icertificate GmbH, und drücken Enter. <source lang=xml>Organization Name (eg, company) [Internet Widgits Pty Ltd]:icertificate GmbH</source>
5. Geben Sie Ihre Abteilung innerhalb der Organisation ein, z.B. IT, und drücken Enter. <source lang=xml>Organizational Unit Name (eg, section) []:IT</source>
6. Geben Sie nun Ihren zu sichernden Domainnamen an, z.B. icertificate.eu, und drücken Enter. Bei einem Wildcard-Zertifikat setzen Sie ein Sternchen vor den Domainnamen, z.B. *.icertificate.eu: <source lang=xml>Common Name (e.g. server FQDN or YOUR name) []:icertificate.eu</source>
7. Tragen Sie anschließend Ihre E-Mail-Adresse ein, z.B. support@icertifcate.eu, und drücken Enter. <source lang=xml enclose="div">Email Address []:support@icertificate.eu</source>
8. Sie können optional nun ein Passwort mit maximal 20 Zeichen eingeben, es wird jedoch empfohlen kein Passwort für den CSR zu setzen. Lassen Sie das Feld einfach leer und drücken Sie Enter. <source lang=xml enclose="div">Please enter the following 'extra' attributes

to be sent with your certificate request A challenge password []:</source>

1. Lassen Sie das Feld "optional company name" wieder leer und drücken Sie Enter. <source lang=xml enclose="div">An optional company name []:</source>
2. Ihr CSR ist nun erstellt und wurde hier im Beispiel in der Datei server.csr im selben Verzeichnis gespeichert. Diese Text-Datei müssen Sie bei ihrer Zertifizierungsstelle (CA) hochladen.

Überprüfung CSR

1. Sie können sich Ihren erstellten CSR als Textdatei anzeigen lassen. Geben Sie dazu folgenden Befehl ein, wobei der Dateiname mit der Endung .csr mit dem oben angegebenen Dateinamen übereinstimmen muss: <source lang=xml enclose="div">nano server.csr</source>
2. Das Ergebnis sollte als Beispiel wie folgt aussehen: <source lang=xml enclose="div">-----BEGIN CERTIFICATE REQUEST-----

MIIC6zCCAdMCAQAwgaUxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t V2VzdGZhbGVuMQ0wCwYDVQQHEwRCb25uMRowGAYDVQQKExFpY2VydGlmaWNhdGUg R21iSDELMAkGA1UECxMCSVQxGDAWBgNVBAMTD2ljZXJ0aWZpY2F0ZS5ldTEmMCQG CSqGSIb3DQEJARYXc3VwcG9ydEBpY2VydGlmaWNhdGUuZXUwggEiMA0GCSqGSIb3 DQEBAQUAA4IBDwAwggEKAoIBAQDH4WYxgMYvxar4yZfUseT0j+QGSn896etUR7AQ +J2F58y24tX5+KCPQa/GaNQfvYL6/xgJvPby0PeRrQDMY62h/S4wCZhAXd58BXxh EseDm2530GCe6vr4ffZfo9O1ErPGrjUnoFQ2V/BknhtWi1I566kgdDFBQU5TEieF Bd946P6IjIaQ8IPmq8S8zHgKz3qjGY7V9UXn1ON0gqHilJ7S7sFAkNgcOS/y/ddD KlrygmOxATvFK5q95AXk8GHlPDo7F3Xz7mHyt0FDRg7QBZcDOK4SbzQYra1k8OLe 0yF+NVSZs87G6PWv48qTLu0u9bhdApvZ8NRXZSIrVJPe95Q1AgMBAAGgADANBgkq hkiG9w0BAQUFAAOCAQEAqnNwUAsTNCNjdpQUP/KC2Sn3QVoh2aYtCHhDvj+1AmGN L/H2/tk+7BPhu7eNBvu4MK9N+UlC0aMeuK7S6HPb/blTs5EnXjLoMjRtN+KLzVcO n4FrHeC7yyYaBGO24UTfhhKnybVv9KZTYwn5sqAhutd8oxQi96aNjc+7LjXhV2eY hS0sHuxhIg4jdM2/sdWF+Y6gsayp5uePWSxROFH5Q48tvGewR4b+Jgzg3W+lGY0r ibIKrihoR1qKYVlg7sKf+EZ7L4u3+sIBOnYZdPCyaWHTKqtv8IGqcPc4LtmjEu5X TJnUNAQXzCYlRp1YgXe5j8Wqx9WhV0//IRuVfrd6ew==

END CERTIFICATE REQUEST-----</source>

1. Bei Ihrem Private Key mit dem beispielhaften Dateinamen private.key, der nur bei Ihnen selber verbleibt, lauten dagegen die einleitenden Worte <source lang=xml enclose="div">-----BEGIN RSA PRIVATE KEY-----</source>

Weblinks

• International Organization for Standardization - Länderkürzel
• Wikipedia: Zertifizierungsstelle
• Wikipedia: Certficate Signing Request
• Wikipedia: OpenSSL
• OpenSSL.org: Befehlsoptionen
• icertificate: CSR entschlüsseln
• Symantec: CSR prüfen