CSR für Apache mit modSSL generieren: Unterschied zwischen den Versionen

Aus SSLplus
Zur Navigation springen Zur Suche springen
K (Iceiden verschob die Seite Apache-openssl-modssl nach CSR für Apache mit modSSL generieren, ohne dabei eine Weiterleitung anzulegen)
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Um einen [[glossar-url#CSR|CSR]] zu generieren, müssen Sie zunächst ein Schlüsselpaar für Ihren Server generieren. Der [[CSR]] und das Schlüsselpaar können nicht getrennt genutzt werden. Wenn Sie Ihr Schlüsselpaar verlieren, oder das Kennwort, dass bei der Generierung des Schlüsselpaars genutzt wurde und ein neues Schlüsselpaar generieren, wird das Zertifikat nicht länger zu dem Schlüsselpaar passen. Daher muss in diesem Fall ein Ersatz erzeugt werden. (siehe -> [[Reissue]])
Um einen [[glossar-url#CSR|CSR]] zu generieren, müssen Sie zunächst ein Schlüsselpaar für Ihren Server generieren. Der [[CSR]] und das Schlüsselpaar können nicht getrennt genutzt werden. Wenn Sie Ihr Schlüsselpaar verlieren, oder das Kennwort, dass bei der Generierung des Schlüsselpaares genutzt wurde und ein neues Schlüsselpaar generieren, wird das Zertifikat nicht länger zu dem Schlüsselpaar passen. Daher muss in diesem Fall ein Ersatz erzeugt werden. (siehe -> [[Reissue]])


=== Schritt 1: ===
=== Schritt 1: ===

Version vom 24. Juni 2014, 17:17 Uhr

Um einen CSR zu generieren, müssen Sie zunächst ein Schlüsselpaar für Ihren Server generieren. Der CSR und das Schlüsselpaar können nicht getrennt genutzt werden. Wenn Sie Ihr Schlüsselpaar verlieren, oder das Kennwort, dass bei der Generierung des Schlüsselpaares genutzt wurde und ein neues Schlüsselpaar generieren, wird das Zertifikat nicht länger zu dem Schlüsselpaar passen. Daher muss in diesem Fall ein Ersatz erzeugt werden. (siehe -> Reissue)

Schritt 1:

ANMERKUNG: Standardeinstellung ist häufig eine Schlüssellänge von 1024 Bit, allerdings wird dringend empfohlen, eine minimale Schlüssellänge von 2048 Bit zu verwenden. Bei einigen EV- und Organisationsvalidierten Produkten ist eine Schlüssellänge 2048 Bit vorgeschrieben.

Für die Generierung von Schlüssel und Glossar-url:CSR wird OpenSSL verwendet. Das OpenSSL-Paket enthält alle notwendigen Programme, diese sind für gewöhnlich unter /usr/bin oder /usr/local/bin installiert.

Geben Sie den folgenden Befehl auf der Shell ein:

 openssl genrsa -out www.yourdomain-example.com.key 2048 

Um ein verschlüsseltes Key-Pair zu erzeugen, verwenden Sie bitte diesen Befehl:

 openssl genrsa -des3 -out www.yourdomain-example.com.key 2048

Die Befehle erzeugen 2048 Bit langes Schlüsselpaar und speichern diese in der Datei www.yourdomain-example.com.key, diese wird im gleichen Verzeichnis gespeichert, in dem der Befehl ausgeführt wurde.

Wenn Sie gebeten werden, ein Passwort einzugeben, geben Sie ein sicheres Kennwort ein und sichern Sie dieses, da es den Schlüssel schützt. Sowohl Schlüssel, als auch Zertifikat werden benötigt um SSL verwenden zu können.

ANMERKUNG: Um das Kennwort zu umgehen, verwenden Sie die Option -des3 nicht. Jetzt wird der Schlüssel nicht geschützt, bzw. verschlüsselt gespeichert. In diesem Fall sollte der Zugriff auf den Schlüssel auf vertrauenswürdige Personen beschränkt werden.

Schritt 2: Generieren des CSR

Geben Sie in der Shell folgenden Befehl ein:

 openssl req -new \
 -key www.yourdomain-example.com.key \
 -out www.yourdomain-example.com.csr 

Wenn Sie das Schlüsselpaar mit der -des3 Option gesichert haben, werden Sie nun um Eingabe des Passwortes gebeten.

Anschließend werden die X.509 Attribute des Zertifikates abgefragt.

Country Name: Geben Sie hier bitte den 2-Buchstaben Ländercode.

State or Province: Geben Sie hier bitte den Namen des betreffenden Bundeslandes ein.

Locality Name: Geben Sie hier bitte den Namen der betreffenden Stadt ein.

Company: Geben Sie hier bitte den Namen der betreffenden Firma ein.

Organizational Unit: Diese Angabe ist optional, für gewöhnlich wird hier die Abteilung erfasst, von welcher der Request erzeugt wird.

Common Name: Bitte geben Sie hier den primären Hostnamen ein, der in das Zertifikat eingetragen werden soll (zB www.domain.tld), bei Wildcard Zertifikaten sieht der CN/Common Name gewöhnlich wie folgt aus: *.domain.tld

Zertifikate können nur auf den Webservern verwendet werden, auf denen der Common Name betrieben wird. So erhalten Sie beispielsweise eine Warnung, wenn Sie ein Zertifikat, das für "domain.tld" ausgestellt wurde, für den CN "secure.domain.tld" verwenden, da dieser Name nicht im Zertifikat enthalten ist.

Email Address: Bitte geben Sie hier Ihre E-Mail-Adresse ein.

Die Angaben A challenge password und An optional company name sind optional und können ausgelassen werden.

Das Schlüsselpaar ist nun fertig angelegt worden. Der Private Schlüssel wird auf dem Server gespeichert und dient der Entschlüsselung. Der öffentliche Teil/Schlüssel befindet sich im [CSR], und wird bei der Zertifikatsausstellung verwendet.

Kopieren Sie bei der Ausstellung den Inhalt der Datei www.yourdomain-example.com.csr vollständig in das entsprechende Textfeld. Bitte verwenden Sie für das Öffnen der Datei einen Texteditor wie Notepad, vi oder ähnliche. Verwenden Sie nicht Word oder andere Textverarbeitungsprogramme, da es sein könnte, dass hier Zeichen versteckt werden und so der Inhalt des CSR verändert und dieser ungültig wird.

Schritt 3: Backup des privaten Schlüssels

Es wird dringend empfohlen ein Backup des privaten Schlüssels anzulegen und das dazugehörige Kennwort sicher zu speichern. Eine gute Lösung ist dabei die Verwendung eines Wechselmediums (CD, DVD, USB-Stick). Auch wenn es nicht zwingend erforderlich ist, den Schlüssel zu sichern, so kann es doch im Falle eines Serverversagens hilfreich sein, auf ein Backup zurückgreifen zu können.