CSR-Erstellung Tomcat

Auf dieser Seite wird erklärt, wie Sie eine Zertifikatsregristrierungsanforderung (Certificate Signing Request - CSR) mit keytool auf einem Tomcat Server erstellen können. Im CSR wird ihr öffentlicher Schlüssel (Public Key - PK) angegeben sowie weitere Informationen für das jeweilige Zertifikat, insbesondere der zu verwendene Domain-Name als Common Name (CN) sowie die Kontaktdaten des Antragstellers. Mit diesen Daten aus dem CSR kann Ihnen nach Prüfung und Genehmigung die Zertifizierungsstelle (Certificate Authority - CA) das Zertifikat ausstellen.

Dateiformat Certificate Signing Request (.csr)

Erstellung Private Key (PK)

1. Öffnen Sie eine Terminal-Verbindung zu Ihrem Tomcat-Server und melden Sie sich dort an.
2. Geben Sie folgenden Befehl ein:<source lang=xml enclose="div">keytool -genkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore private.key -validity 360</source>
3. Es erscheint folgende Ausgabe: <source lang=xml enclose="div">Enter keystore password:</source>
4. Geben Sie ein Passwort ein und heben Sie dieses sicher auf. Es wird später noch benötigt. <source lang=xml enclose="div">Enter keystore password: IhrKeystorePasswort</source>
5. Ihr Private Key ist nun erstellt und wurde in der Datei private.key im selben Verzeichnis gespeichert. Heben Sie diese Datei gut auf und veröffentlichen diese keinesfalls im Internet!

Erstellung Certificate Signing Request (CSR)

Verwenden sie bei den folgenden Eingaben bitte keine Umlaute oder Sonderzeichen und achten Sie auf Groß- und Kleinschreibung. Die Angaben erzeugen den Zertifkatsnamen und stellen den Distinguished Name (DN) als eindeutigen Objektnamen in LDAP-Verzeichnissen da. Nicht alle Zertifizierungsstellen können dabei Umlaute oder Sonderzeichen interpretieren. Wandeln Sie daher um von ä in ae, ö in oe, ß in ss, etc.

Erlaubte Zeichen sind:

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
a b c d e f g h i j k l m n o p q r s t u v w x y z
0 1 2 3 4 5 6 7 8 9
( ) : . - , Leerzeichen

1. Nach Erstellung des Private Key und Eingabe eines Keystore-Passwortes erscheint folgende Frage: <source lang=xml enclose="div">What ist your first and last name?</source>
2. Geben Sie bitte dabei nun Ihren zu sicherenden Domain-Namen an statt Vor- und Zuname, z.B. icertificate.eu. Bei einem Wildcard-Zertifikat bitte ein Sternchen voransetzen, z.B. *.icertificate.eu <source lang=xml enclose="div">What is your first and last name?

icertificate.eu</source>

1. Geben Sie als nächstes Ihre Abteilung innerhalb der Organisation ein, z.B. IT, und drücken Enter. <source lang=xml enclose="div">What is the name of your organizational unit?

IT</source>

1. Geben Sie als nächstes den Namen Ihrer Organisation ein, z.B. icertificate GmbH, und drücken Enter. <source lang=xml enclose="div">What is the name of your organization?

icertificate GmbH</source>

1. Geben Sie nun den Namen Ihrer Stadt ein, z.B. Bonn, und drücken Enter. <source lang=xml enclose="div">What is the name of your City oder Locality?

Bonn</source>

1. Geben Sie dann Ihr Bundesland in voller Schreibweise an: <source lang=xml enclose="div">What is the name of your State or Province?

Nordrhein-Westfalen</source>

1. Geben Sie als nächstes Ihren zweistelligen Ländercode ein, z.B. DE für Deutschland, und drücken Enter. <source lang=xml enclose="div">What is the two-letter country conde for this unit?

DE</source>

1. Sie bekommen nun noch einmal die Eingaben angezeigt und bestätigen mit yes bzw. y. <source lang=xml enclose="div">Is CN=icertificate.eu, OU=IT, O=icertificate GmbH, L=Bonn, ST=Nordrhein-Westfalen, C=DE ?

y</source>

1. Sie werden jetzt nocheinmal zur Eingabe eines weiteren Passwortes gebeten, z.B. IhrKeyPasswort. Heben Sie auch dieses sicher auf. <source lang=xml enclose="div">Enter key password for

IhrKeyPasswort</source>

1. Geben Sie nun folgenden Befehl zur Erstellung der CSR-Datei ein mit den angepassten Dateinamen für die Beispiele server.csr und private.key: <source lang=xml enclose="div">keytool -certreq -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -file server.csr -keystore private.key</source>
2. Zum Abschluß müssen Sie Ihr oben vergebenes Passwort für den Keystore angeben und mit Enter bestätigen: <source lang=xml enclose="div">Enter keystore password:

IhrKeystorePasswort</source>

1. Ihr CSR ist nun erstellt und wurde hier im Beispiel in der Datei server.csr im selben Verzeichnis gespeichert. Diese Text-Datei müssen Sie bei ihrer Zertifizierungsstelle (CA) hochladen.

Überprüfung CSR

Prüfung mit Keytool-Befehl

Sie können sich den CSR mit weiteren Angaben auch in der Befehlszeile/Terminal mit folgendem Befehl anzeigen lassen, wobei wiederum der jeweilige Dateiname (hier im Beispiel server.csr) verwendet werden muss:<source lang=xml enclose="div">keytool -list -v -storepass IhrKeystorePasswort</source>

Prüfung mit Online-Tool

Komfortabel ist auch die Prüfung des erstellten CSR mit einem Online-Tool wie bei Symantec.

1. Rufen Sie die Internetseite Symantec CSR Check in Ihren Internet-Browser auf.
2. Fügen Sie dort am besten mit Copy&Paste Ihren CSR ein (beginnend mit -----BEGIN CERTIFCATE REQUEST----- und endend mit -----END CERTIFICATE REQUEST-----) und klicken auf "Check".
3. Überprüfen Sie dort, ob alle Angaben korrekt ausgelesen werden können.

   

Weblinks

• International Organization for Standardization - Länderkürzel
• Wikipedia: Zertifizierungsstelle
• Wikipedia: Certficate Signing Request
• Wikipedia: Keystore
• Oracle Java: Befehlsoptionen
• icertificate: CSR entschlüsseln
• Symantec: CSR prüfen