Wie erstelle ich einen CSR (OpenSSL)?

Wenn Sie z. B. ein HTTPS Zertifikat beantragen möchten benötigen Sie hierfür einen CSR. Dieses können Sie z. B. mittels OpenSSL erstellen.

Erstellung eines CSR mit OpenSSL

Als erstes muss ein neuer privater Schlüssel erzeugt werden. Der private Schlüssel ist wichtig und muss geheim gehalten werden. Auf einem Server muss dieser entsprechend geschützt werden.

$ openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem

Es wird ein Schlüssel mit 2048 Bit und dem SHA2 Algorithmus generiert. Für einen längeren Schlüssel kann auch 4096 statt 2048 als Parameter verwendet werden. Bei der Erzeugung werden einige Angaben abgefragt (die Eingaben sind fett markiert). Diese müssen gewissenhaft ausgefüllt werden wenn das Zertifikat später von einer offiziellen Vergabestelle ausgestellt werden soll. Je nach Zertifikatstyp sind jedoch nicht alle Felder relevant.

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bayern
Locality Name (eg, city) []:Bayreuth
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ich AG
Organizational Unit Name (eg, section) []:IT Dept.
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:webmaster@domain.tld   

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Der Common Name definiert welche Domain (bei SSL Zertifikaten) bzw. welche E-Mail-Adresse (bei ID Zertifikaten) geschützt wird.

Der Schlüssel wird hierbei normalerweise in der Datei privkey.pem gespeichert.

Zuletzt aktualisiert am 2019-01-22 von Tobias Bauer.

Zurück