Erzeugen eines Zertifikatantrages (Certificate Signing Request: CSR)

mit OpenSSL

Für die Erzeugung von Zertifikatanträgen (CSR) mit OpenSSL stellt das SCC einen CSR Generator bereit. Vor allem, wenn Sie häufiger Serverzertifikate beantragen oder zusätzliche alternative DNS-Namen im Antrag enthalten sein sollen, können Sie damit die Erstellung vereinfachen.

Hinweise:
Fett gedruckte Angaben sind obligatorisch. Kursive fett gedruckte Bezeichnungen sind durch die eigenen Namen zu ersetzen.
Angaben die in OpenSSL (z. B. Email Address) nicht getätigt werden sollen, sind durch Eingabe eines Punktes abzuwählen.

Beim Erzeugen eines Server-Zertifikatantrags ist bei Common Name (eg, YOUR name) [ ]: der vollständige Rechnername (FQDN) einzutragen.
Im Zertifikat darf keine E-Mail-Adresse mehr enthalten sein.

  1. Öffnen Sie eine Shell
  2. Wechseln Sie in ein Verzeichnis, in dem Sie den CSR und den privaten Schlüssel vorerst ablegen möchten
  3. Geben Sie folgendes Kommando ein und beantworten Sie die Abfragen:

openssl req -nodes -newkey rsa:4096 -keyout servername.key -out servername.csr

Generating a 4096 bit RSA private key
......+++
..........................................+++
writing new private key to 'servername.key'

-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Thueringen
Locality Name (eg, city) []:Weimar
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bauhaus-Universitaet Weimar
Organizational Unit Name (eg, section) []:Bereichsname
Common Name (eg, YOUR name) []:servername.uni-weimar.de
Email Address []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.

Die Ausführung des OpenSSL-Kommandos erzeugt zwei Dateien:

  • servername.key: enthält den privaten Schlüssel, der sorfältig aufbewahrt werden muss.
  • servername.csr: enthält den Certificate Signing Request; diesen herunterladen und über die Webschnittstelle einreichen;
    der Teilnehmerservice (TS) im SCC gibt ihn fei nach Prüfung Ihrer Angaben und Ihrer Berechtigung, das Zertifikat zu beantragen

Der Inhalt des Requests kann zur Kontrolle mit dem Befehl openssl req -noout -text -in servername.csr gelistet werden.

Sie erhalten eine E-Mail mit Links zum Download des fertiggestellten Zertifikats.