CSR erstellen unter OpenSSL

Einen mit OpenSSL erstellten Certificate Singning Request (CSR) benötigen Sie zur Bestellung eines SSL-Zertifikats welches Sie für verschiedenste Anwendungen einsetzen können. Hierzu gehören beispielsweise die HTTP-Server Apache/Apache2, Nginx und Lighttpd. Auch Mailserver mit Postfix/Exim/Sendmail (SMTP) und Dovecot/Courier-IMAP (IMAP/POP3) setzen OpenSSL für sichere TLS-Verbindungen ein.

Tipp: Benutzen Sie unseren Script-Generator zum Erstellen eines OpenSSL-Aufrufs mit allen benötigten Argumenten.

  1. Loggen Sie sich auf Ihrem Server ein.

  2. Rufen Sie das Programm openssl auf, um die Aufforderung zu erzeugen:

    openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem

    Dies erzeugt einen privaten Schlüssel und eine zugehörige Zertifikatsanfrage. Es erscheint nun folgende Ausgabe auf ihrem Bildschirm:

    # Generating a 2048 bit RSA private key
    # ...............................................++++++
    # ............................++++++
    # writing new private key to 'privkey.pem'
    # -----
    # You are about to be asked to enter information that will be incorporated
    # into your certificate request.
    # What you are about to enter is what is called a Distinguished Name or a DN.
    # There are quite a few fields but you can leave some blank
    # For some fields there will be a default value,
    # If you enter '.', the field will be left blank.
    # -----
    

    Im Anschluss werden Ihnen nun Fragen zu den Registrierungsinformationen gestellt.

  3. Tragen Sie hier den 2-stellingen Laendercode (DE = Deutschland) ein.

    # Country Name (2 letter code) [AU]: DE
  4. Geben Sie hier Ihr Bundesland an.

    # State or Province Name (full name) [Some-State]: Bremen
  5. Geben Sie hier Ihre Stadt an.

    # Locality Name (eg, city) []:Bremen
  6. Geben Sie hier Ihren Namen bzw. Firmennamen an.

    # Organization Name (eg, company) [Internet Widgits Pty Ltd]: example ltd.
  7. Geben Sie hier Ihre Abteilung (falls vorhanden) an.

    # Organizational Unit Name (eg, section) []: ---
  8. Geben Sie hier den genauen Domainnamen an, welcher durch das Zertifikat geschuetzt werden soll.

    # Common Name (eg, YOUR name) []:example.com

    Wichtig: Zertifikat ist dann auch nur für diese Eingabe gültig.

  9. Geben Sie hier die E-Mailadresse des Verantwortlichen ein.

    # Email Address []:hostmaster@example.org
  10. Diese Angaben sind optional und können daher leergelassen werden.

    # Please enter the following 'extra' attributes
    # to be sent with your certificate request
    # A challenge password []:
    # An optional company name []:
  11. Es wurden nun die Dateien privkey.pem und csr.pem erstellt, welche den privaten Schluessel und die Zertifikatsanforderung beinhalten.