Generierung eines neuen Zertifikatsantrags (CSR)
Folgende Anleitung beschreibt die Generierung einer Certificate Signing Request Datei (CSR) mit OpenSSL unter Linux/ Unix und Windows.
Erzeugung eines neuen RSA Schlüsselpaares (z.B. Modulo 4096 Bits) mit openssl:
openssl genrsa -out private.pem 4096 (Schlüsseldatei nicht verschlüsselt abgelegt, deshalb nicht empfohlen!)
Bessere Variante mit verschlüsselter Ablage der Schlüsseldatei:
openssl genrsa -aes128 -passout pass:<passwordgoeshere> -out private.pem 4096
Weitere Informationen zur empfohlenen Schlüssellängen findet man in den Technischen Richtlinien des BSI bzw. auf der Webseite "Cryptographic Key Length Recommedation".
Generierung eines neuen Zertifikatsantrags (CSR) mit openssl (interaktiv):
openssl req -new -key private.pem -out request.pem
Bitte beachten Sie dabei folgende Attribute, für die jeweilige PKI:
| PKI | Attribut | Kürzel | Beispiele | Bemerkungen |
|---|---|---|---|---|
| alle PKIs | Land (Country Name) | C | DE | exakte Schreibweise beachten! |
nicht für DFN Grid-PKI | Bundesland (State or Province Name) | ST | Nordrhein-Westfalen | exakte Schreibweise beachten! |
| nicht für DFN Grid-PKI nicht für Harica | Ort (Locality Name) | L | Aachen | exakte Schreibweise beachten! |
| Sectigo/Harica | Organisation (Organization Name) | O | RWTH Aachen University | exakte Schreibweise beachten! |
| DFN-Verein Community PKI | Organisation (Organization Name) | O | RWTH Aachen | exakte Schreibweise beachten! |
| DFN Grid-PKI | Organisation (Organization Name) | O | GridGermany | exakte Schreibweise beachten! |
| nur für DFN Grid-PKI | Organisational Unit (Organisationseinheit) | OU | RWTH Aachen | exakte Schreibweise beachten! |
| alle PKIs | gebräuchlicher Name (Common Name) | CN | www.rz.rwth-aachen.de
pop3.test.rwth-aachen.de | Name des Servers, wie er auch im DNS eingetragen ist. Weitere FQDNs müssen als subjectAlternativeName (SaN) eingegeben werden. |
Bitte beachten Sie, dass RFC-Konform die Angabe nur eines CNs ist. Wenn es mehrere FQDNs mit dem gleichen Zertifikat abgedeckt werden sollen, müssen diese als subjectAltNames eingegeben werden. Dies können Sie mit folgendem OpenSSL Befehl unter Unix/Linux erreichen:
| für die Harica PKI | openssl req -new -utf8 -key private_key.pem -out request.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/O=RWTH Aachen University/CN=fqdn1.domain.rwth-aachen.de" -addext "subjectAltName=DNS:fqdn1.domain.rwth-aachen.de,DNS:fqdn2.domain.rwth-aachen.de" |
| für die Sectigo PKI | openssl req -new -key private_key.pem -out request.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen University/CN=fqdn1.domain.rwth-aachen.de" -addext "subjectAltName=DNS:fqdn1.domain.rwth-aachen.de,DNS:fqdn2.domain.rwth-aachen.de" |
| für die DFN-Verein Community PKI | openssl req -new -key private_key.pem -out request.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen/CN=fqdn1.domain.rwth-aachen.de" -addext "subjectAltName=DNS:fqdn1.domain.rwth-aachen.de,DNS:fqdn2.domain.rwth-aachen.de" |
| für die DFN Grid-PKI | openssl req -new -key private_key.pem -out request.pem -batch -subj "/C=DE/O=GridGermany/OU=RWTH Aachen/CN=fqdn1.domain.rwth-aachen.de" -addext "subjectAltName=DNS:fqdn1.domain.rwth-aachen.de,DNS:fqdn2.domain.rwth-aachen.de" |
| Windows Nutzer (exemplarisch für die Sectigo PKI) | |
| csr.conf Datei generieren, folgendes eintragen: |
|
Jetzt den OpenSSL Befehl geben: | openssl req -new -key private.pem -config csr.conf -out request.pem |
Weitere Schritte:
