Das Erzeugen eines Schlüsselpaares und das Erstellen eines Zertifizierungsantrages (Certificate Signing Request, kurz: CSR)

1.     Erzeugen des Schlüsselpaares mit openssl

$ openssl req -newkey rsa:2048 -keyout server.key -keyform PEM -out server.req -outform PEM

Der private Schlüssel (server.key) muss sicher verwahrt werden und darf für Dritte nicht zugänglich bzw. lesbar sein.

Während des Generierungsvorgangs fordert OpenSSL die Eingabe eines Passwortes für den privaten Schlüssel (PEM pass phrase). Wenn Sie möchten, dass beim Systemstart der Dienst automatisch gestartet wird, der auf das Zertifikat zurückgreift (für den Sie das Zertifikat beantragen), sollten Sie OpenSSL mit der Option -nodes benutzen.

Beispiel:

Generating a 2048 bit RSA private key

...............................................................++++++

..............................++++++

writing new private key to 'privkey.pem'

Enter PEM pass phrase: ¿

Verifying - Enter PEM pass phrase: ¿

2.   Erzeugen des Zertifizierungsantrages

Anschließend werden Sie nach den Inhalten Ihres Antrags gefragt. Geben Sie den Namen Ihrer Organisation usw. an. Denken Sie insbesondere daran, den Common Name  korrekt auszufüllen. Dieser wird anderen Benutzern später bei der Verwendung Ihres Zertifikats angezeigt, der Common Name sollte also der Name sein, unter dem die Benutzer Ihren Server ansprechen.

Beispiel:

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country           DE

State             Niedersachsen

City              Hannover

Organisation Name Leibniz Universitaet Hannover

Organisation Unit <Institutskürzel>

Common Name               <vollständiger Rechnername>

Email Address             <E-Mail-Adresse des Server-Admin>

Optional:

Please enter the following ‘extra’ attributes

To be sent with your certificate request

A challenge password []:

An optional company name []: