SSL request erstellen

Um von einem Zertifizierten Anbieter ein SSL Zertifikat signieren zu lassen, muss man zuerst einen Schlüssel (key) und einen sogenannten Certificate Signing Request (CSR) erstellen.

Dies geht für eine einzelne Domain und auch für mehrere. Bei mehreren Domains im selben Zertifikat spricht man von einem SAN (Subject Alternative Name) Zertifikat.

Schlüssel generieren

Zuerst muss ein Schlüssel generiert werden:

openssl genrsa -out example.com.key 4096

SSL-Konfiguration anlegen

Um einen CSR erstellen zu können braucht man eine openssl Konfigurationsdatei mit minimalen Angaben:

example.com.cnf

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
CN = www.example.com
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth

Bei CN = muss der Domainname eingetragen werden.

Certificate-Request erstellen

Nun kann man mit Angabe des keys und der Konfigurationsdatei den CSR erstellen:

openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf

Multi-Domain (SAN) Zertifikat erstellen

Will man ein Zertifikat für mehrere Domains erstellen, muss man die obige Konfigurationsdatei noch etwas erweitern:

example.com.san.cnf

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
CN = www.example.com
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
 
subjectAltName = @alt_names
[alt_names]
DNS.1  = example.com
DNS.2  = www.example.net
DNS.3  = example.net
DNS.4  = test.example.net

Bei CN = wird nun der „Haupt Domainname“ und bei DNS.# = alle zusätzlichen Domain Namen mit Zeilenumbruch eingetragen.

Danach wieder normal mit dem openssl Kommando das Zertifikat erstellen:

openssl req -new -out example.com.csr -key example.com.key -config example.com.san.cnf

Request prüfen

Ist der CSR erstellt kann man diesen mit folgendem openssl Kommando anschauen:

openssl req -text -noout -verify -in example.com.csr

Zertifikat prüfen

Das Fertige Zertifikat (CRT) kann zum Schluss mit folgendem openssl Kommando überprüft werden:

openssl x509 -in example.com.crt -text -noout

Published by

Steven Varco

Steven ist ein Redhat RHCE-Zertifizierter Linux-Crack und ist seit über 10 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.