CSR für Apache mit modSSL generieren

Aus SSLplus
Version vom 15. Dezember 2015, 12:11 Uhr von Ichopfe (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Um einen CSR zu generieren, müssen Sie zunächst ein Schlüsselpaar für Ihren Server erstellen. Der CSR und das Schlüsselpaar können nicht getrennt genutzt werden. Wenn Sie Ihr Schlüsselpaar oder das Kennwort, dass bei der Erstellung des Schlüsselpaares genutzt wurde, verlieren und ein neues Schlüsselpaar generieren müssen, wird das Zertifikat nicht länger zu dem Schlüsselpaar passen. Daher muss in diesem Fall ein Ersatz erzeugt werden. (siehe -> Reissue)

Schritt 1: Vorbereitung

ANMERKUNG: Standardeinstellung ist häufig eine Schlüssellänge von 1024 Bit, allerdings wird dringend empfohlen, eine minimale Schlüssellänge von 2048 Bit zu verwenden. Bei einigen EV- und Organisationsvalidierten Produkten ist eine Schlüssellänge 2048 Bit vorgeschrieben.

Für die Generierung von Schlüssel und CSR wird OpenSSL verwendet. Das OpenSSL-Paket enthält alle notwendigen Programme, welche für gewöhnlich unter /usr/bin oder /usr/local/bin installiert sind.

Geben Sie den folgenden Befehl auf der Shell ein:


openssl genrsa -out www.yourdomain-example.com.key 2048


Um alternativ ein verschlüsseltes Key-Pair zu erzeugen, verwenden Sie bitte diesen Befehl:


openssl genrsa -des3 -out www.yourdomain-example.com.key 2048


Die Befehle erzeugen ein 2048 Bit langes Schlüsselpaar und speichern diese in der Datei www.yourdomain-example.com.key. Diese Datei wird im gleichen Verzeichnis gespeichert, in dem der Befehl ausgeführt wurde.

Wenn Sie gebeten werden ein Passwort einzugeben, geben Sie ein sicheres Kennwort ein und sichern Sie dieses, da dieses den Schlüssel schützt. Sowohl Schlüssel, als auch Zertifikat werden benötigt um SSL verwenden zu können.

ANMERKUNG: Um das Kennwort zu umgehen, verwenden Sie die Option -des3 nicht. Jetzt wird der Schlüssel nicht geschützt, bzw. verschlüsselt gespeichert. In diesem Fall sollte der Zugriff auf den Schlüssel auf vertrauenswürdige Personen beschränkt werden.

Schritt 2: Generieren des CSR

Geben Sie in der Shell folgenden Befehl ein:


openssl req -new \ -key www.yourdomain-example.com.key \ -out www.yourdomain-example.com.csr -sha256


Wenn Sie das Schlüsselpaar mit der -des3 Option gesichert haben, werden Sie nun um Eingabe des Passwortes gebeten.

Anschließend werden die X.509 Attribute des Zertifikates abgefragt.

Country Name: Geben Sie hier bitte den 2-Buchstaben Ländercode ein.

State or Province: Geben Sie hier bitte den Namen des betreffenden Bundeslandes ein.

Locality Name: Geben Sie hier bitte den Namen der betreffenden Stadt ein.

Company: Geben Sie hier bitte den Namen der betreffenden Firma ein.

Organizational Unit: Diese Angabe ist optional, für gewöhnlich wird hier die Abteilung erfasst, von welcher der Request erzeugt wird.

Common Name: Bitte geben Sie hier den primären Hostnamen ein, der in das Zertifikat eingetragen werden soll (zB www.domain.tld), bei Wildcard Zertifikaten sieht der CN/Common Name gewöhnlich wie folgt aus: *.domain.tld

Zertifikate können nur auf den Webservern verwendet werden, auf denen der Common Name betrieben wird. So erhalten Sie beispielsweise eine Warnung, wenn Sie ein Zertifikat, das für "domain.tld" ausgestellt wurde, für den CN "secure.domain.tld" verwenden, da dieser Name nicht im Zertifikat enthalten ist.

Email Address: Bitte geben Sie hier Ihre E-Mail-Adresse ein.

Die Angaben A challenge password und An optional company name sind optional und können ausgelassen werden.

Das Schlüsselpaar ist nun fertig angelegt worden. Der Private Schlüssel wird auf dem Server gespeichert und dient der Entschlüsselung. Der öffentliche Teil/Schlüssel befindet sich im CSR und wird bei der Zertifikatsausstellung verwendet.

Kopieren Sie bei der Ausstellung den Inhalt der Datei www.yourdomain-example.com.csr vollständig in das entsprechende Textfeld. Bitte verwenden Sie für das Öffnen der Datei einen Texteditor wie Notepad, vi oder ähnliche. Verwenden Sie nicht Word oder andere Textverarbeitungsprogramme, da es sein könnte, dass hier Zeichen versteckt werden und so der Inhalt des CSR verändert und dieser ungültig wird.

Schritt 3: Backup des privaten Schlüssels

Es wird dringend empfohlen ein Backup des privaten Schlüssels anzulegen und das dazugehörige Kennwort sicher zu speichern. Eine gute Lösung ist dabei die Verwendung eines Wechselmediums (CD, DVD, USB-Stick). Auch wenn es nicht zwingend erforderlich ist, den Schlüssel zu sichern, so kann es doch im Falle eines Serverversagens hilfreich sein, auf ein Backup zurückgreifen zu können.