Wie erstelle ich ein CSR unter Linux?
Als erstes erzeugen Sie einen privaten Schlüssel
openssl genrsa -out www.domain.de.key 2048
Dann erzeugen Sie auf Basis des privaten Schlüssels den Certificate Signing Request (CSR):
openssl req -new -key www.domain.de.key -out www.domain.de.csr
Folgende Daten werden hierbei nun abgefragt:
Country Name (2 letter code): DE (für Deutschland, immer in Grossbuchstaben)
State or Province Name: Bayern (bitte keine Abkürzungen)
Locality Name: Muenchen (Ihre Stadt)
Organization Name: Serverprofis GmbH (vollständiger Firmenname, falls vorhanden, ansonsten leer lassen)
Organization Unit Name: IT (Abteilung, optional)
Common Name: www.domain.de (vollständiger Hostname oder *.domain.de bei Wildcards)
Email Address: [email]admin@domain.de[/email] (Ihre E-Mail Adresse eines Ansprechpartners)
A challenge password: (bitte leer lassen, sonst kann Ihr Webserver u.U. nicht automatisch starten)
Bei Bedarf können Sie nun schon ein selbstsigniertes Zertifikat erzeugen:
openssl x509 -req -days 365 -in www.domain.de.csr -signkey www.domain.de.key -out www.domain.de.crt
CSR für Zertifikatsantrag anzeigen, um es bei der Zertifizierungsstelle einreichen zu können.
cat www.domain.de.csr
Wichtig hierbei ist, dass Sie den private Key (KEY) nie außer Hand geben. Dieser sollte, wenn möglich, niemals von dem ursprünglichen Server kopiert werden und wenn dies doch nötig sein sollte, nur über verschlüsselte Wege übertragen werden.
Das CSR geben Sie dann beim unserem SSL-Wizard mit an, danach erhalten Sie dann das Zertifikat (CRT) zurück.
Mit dem KEY und dem CRT können Sie dann Ihr Zertifikat im Webserver installieren. Sie benötigen inzwischen auch ein Intermediate Certificate (auch ca_bundle oder Zwischenzertifikat genannt). Dies erhalten Sie automatisch mit dem CRT von der Zertifizierungsstelle zugesandt.
GANZ WICHTIG: Löschen Sie niemals den Schlüssel (KEY), denn dieser ist für den Betrieb des Zertifikates notwendig. Wenn dies gelöscht werden sollte, muß das Zertifikat neu ausgestellt werden.