Schlüsselpaar und Zertifikatantrag
erzeugen
Um einen Zertifikatantrag zu erzeugen, erstellen Sie bitte zuerst
mit einem einfachen Texteditor die folgende Konfigurationsdatei
xxx.cnf
, wobei Sie die Angaben in den Zeilen
„organizationalUnitName_default“ und
“emailAddress_default” durchaus schon anpassen oder die
Schlüsselgröße auf bis zu 4096 Bits erhöhen
können:
[ req ]
default_bits = 2048
default_keyfile = private.pem
distinguished_name = req_dn
[ req_dn ]
countryName = Country Code
countryName_value = DE
stateOrProvinceName = State or Province
stateOrProvinceName_value = Nordrhein-Westfalen
localityName = Locality
localityName_value = Muenster
organizationName = Organization Name
organizationName_value = Westfaelische Wilhelms-Universitaet Muenster
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_max = 64
organizationalUnitName_default = Institut fuer Physikalische Theologie
commonName = Server Name (eg, www.uni-muenster.de)
commonName_min = 6
commonName_max = 64
commonName_default = xxx.uni-muenster.de
emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = xxx@uni-muenster.de
Um ein 2048-Bit-RSA-Schlüsselpaar zu erzeugen, können Sie
folgenden Befehl verwenden:
openssl genrsa -out xxx.key
Bei diesem Befehl wird der private Schlüssel ungeschützt
in die Datei xxx.key
geschrieben. Wenn Sie den
privaten Schlüssel mit einem Passwort verschlüsselt ablegen
möchten, können Sie stattdessen folgenden Befehl
verwenden:
openssl genrsa -des3 -out xxx.key
(Die Triple-DES-Verschlüsselung ist alt, aber portabel und
für diesen Zweck mehr als sicher genug.)
Bitte beachten Sie: Falls Sie einen verschlüsselten privaten
Schlüssel für einen Server verwenden, werden Sie bei jedem
Starten des Servers das Schlüsselpasswort eintippen
müssen.
Um für ein vorhandenes Schlüsselpaar mit dem privaten
Schlüssel in xxx.key
einen
Zertifikatantrag xxx.req
zu erzeugen,
können Sie dann folgenden Befehl verwenden:
openssl req -config xxx.cnf -new -key
xxx.key -out xxx.req
Falls der private Schlüssel verschlüsselt gespeichert
wurde, werden Sie nach dem Passwort gefragt.
Um zugleich ein neues Schlüsselpaar mit dem privaten
Schlüssel in xxx.key
und einen
Zertifikatantrag xxx.req
für dieses
Schlüsselpaar zu erzeugen, können Sie folgenden Befehl
verwenden:
openssl req -config xxx.cnf -new -nodes -keyout
xxx.key -out xxx.req
Oder ohne eigene Konfigurationsdatei:
openssl req -new -newkey rsa:2048 -nodes -keyout
xxx.key -out xxx.req
Um den privaten Schlüssel Triple-DES-verschlüsselt
abzuspeichern, lassen Sie bitte die Option -nodes
weg.