CSR für Apache mit modSSL generieren: Unterschied zwischen den Versionen

Aus SSLplus
Zur Navigation springen Zur Suche springen
Zeile 37: Zeile 37:
Wenn Sie das Schlüsselpaar mit der -des3 Option gesichert haben, werden Sie nun um Eingabe des Passwortes gebeten.
Wenn Sie das Schlüsselpaar mit der -des3 Option gesichert haben, werden Sie nun um Eingabe des Passwortes gebeten.


Anschliessend werden die X.509 Attribute des Zertifikates abgefragt.
Anschliessend werden die [[X.509]] Attribute des Zertifikates abgefragt.


'''Country Name:''' Geben Sie hier bitte den 2-Buchstaben Ländercode.
'''Country Name:''' Geben Sie hier bitte den 2-Buchstaben Ländercode.
Zeile 49: Zeile 49:
'''Organizational Unit:''' Diese Angabe ist optional, für gewöhnlich wird hier die Abteilung erfasst, von welcher der Request erzeugt wird.
'''Organizational Unit:''' Diese Angabe ist optional, für gewöhnlich wird hier die Abteilung erfasst, von welcher der Request erzeugt wird.


'''Common Name:''' Bitte geben Sie hier den primären Hostnamen ein, der in das Zertifikat eingetragen werden soll (zB www.domain.tld), bei Wildcard Zertifikaten sieht der CN/Common Name gewöhnlich wie folgt aus: *.domain.tld
'''Common Name:''' Bitte geben Sie hier den primären Hostnamen ein, der in das Zertifikat eingetragen werden soll (zB www.domain.tld), bei Wildcard Zertifikaten sieht der [[CN]]/[[Common Name]] gewöhnlich wie folgt aus: *.domain.tld

Version vom 15. August 2012, 22:08 Uhr

Um einen CSR zu generieren, müssen Sie zunächst ein Schlüsselpaar für Ihren Server generieren. Der CSR und das Schlüsselpaar können nicht getrennt genutzt werden. Wenn Sie Ihr Schlüsselpaar verlieren, oder das Kennwort, dass bei der Generierung des Schlüsselpaars genutzt wurde und ein neues Schlüsselpaar generieren, wird das Zertifikat nicht länger zu dem Schlüsselpaar passen. Daher muss in diesem Fall ein Ersatz erzeugt werden. (siehe -> Reissue)

Schritt 1:

ANMERKUNG: Standardeinstellung ist häufig eine Schlüssellänge von 1024 Bit, allerdings wird dringend empfohlen, eine minimale Schlüssellänge von 2048 Bit zu verwenden. Bei einigen EV- und Organisationsvalidierten Produkten ist eine Schlüssellänge 2048 Bit vorgeschrieben.

Für die Generierung von Schlüssel und CSR wird OpenSSL verwendet. Das OpenSSL-Paket enthält alle notwendigen Programme, diese sind für gewöhnlich unter /usr/bin oder /usr/local/bin installiert.

Geben Sie den folgenden Befehl auf der Shell ein:

 openssl genrsa -out www.yourdomain-example.com.key 2048 

Um ein verschlüsseltes Key-Pair zu erzeugen, verwenden Sie bitte diesen Befehl:

 openssl genrsa -des3 -out www.yourdomain-example.com.key 2048

Die Befehle erzeugen 2048 Bit langes Schlüsselpaar und speichern diese in der Datei www.yourdomain-example.com.key, diese wird im gleichen Verzeichnis gespeichert, in dem der Befehl ausgeführt wurde.

Wenn Sie gebeten werden, ein Passwort einzugeben, geben Sie ein sicheres Kennwort ein und sichern Sie dieses, da es den Schlüssel schützt. Sowohl Schlüssel, als auch Zertifikat werden benötigt um SSL verwenden zu können.

ANMERKUNG: Um das Kennwort zu umgehen, verwenden Sie die Option -des3 nicht. Jetzt wird der Schlüssel nicht geschützt, bzw verschlüsselt gespeichert. In diesem Fall sollte der Zugriff auf den Schlüssel auf vertrauenswürdige Personen beschränkt werden.

Schritt 2: Generieren des CSR

Geben Sie in der Shell folgenden Befehl ein:

 openssl req -new \
 -key www.yourdomain-example.com.key \
 -out www.yourdomain-example.com.csr 

Wenn Sie das Schlüsselpaar mit der -des3 Option gesichert haben, werden Sie nun um Eingabe des Passwortes gebeten.

Anschliessend werden die X.509 Attribute des Zertifikates abgefragt.

Country Name: Geben Sie hier bitte den 2-Buchstaben Ländercode.

State or Province: Geben Sie hier bitte den Namen des betreffenden Bundeslandes ein.

Locality Name: Geben Sie hier bitte den Namen der betreffenden Stadt ein.

Company: Geben Sie hier bitte den Namen der betreffenden Firma ein.

Organizational Unit: Diese Angabe ist optional, für gewöhnlich wird hier die Abteilung erfasst, von welcher der Request erzeugt wird.

Common Name: Bitte geben Sie hier den primären Hostnamen ein, der in das Zertifikat eingetragen werden soll (zB www.domain.tld), bei Wildcard Zertifikaten sieht der CN/Common Name gewöhnlich wie folgt aus: *.domain.tld