Sie befinden sich im Service: Zertifikate

Generierung eines neuen Zertifikatsantrags (CSR)

Generierung eines neuen Zertifikatsantrags (CSR)

Folgende Anleitung beschreibt Generierung von einem neuen Zertifikatsantrag mit OpenSSL unter Linux/ Unix und Windows.


Linux/Unix

Erzeugung eines neuen RSA Schlüsselpaares (z.B. Modulo 4096 Bits) mit openssl:

openssl genrsa -out private.pem 4096

Weitere Informationen zur empfohlenen Schlüssellängen findet man in den Technischen Richtlinien des BSI bzw. auf der Webseite "Cryptographic Key Length Recommedation".

Generierung eines neuen Zertifikatsantrags (CSR) mit openssl:

openssl req -new -key private.pem -out request.pem

Bitte beachten Sie dabei folgende Attribute (ausführliche Infos in der Zertifizierungsrichtlinie der DFN-PKI:

AttributKürzelBeispieleBemerkungen
Land (Country Name)CDEbitte Großbuchstaben
Bundesland (State or Province Name)STNordrhein-Westfalenexakte Schreibweise beachten!
Ort (Locality Name)LAachenexakte Schreibweise beachten!
Organisation (Organization Name)ORWTH Aachenexakte Schreibweise beachten!
Organisationseinheit (Organizational Unit Name)OUseit Dez.2021 nicht mehr einzutragen

Nach Anforderung des Browser/CA Forums, wird ab Dezember 2021 die OU automatisch von der DFN-PKI rausgefiltert.

gebräuchlicher Name (Common Name)CNwww.rz.rwth-aachen.de

pop3.test.rwth-aachen.de

Name des Servers, wie er auch im DNS eingetragen ist. Andere Namen müssen als subjectAlternativeName (SaN) eingegeben werden.
 

Bitte beachten Sie, dass RFC-Konform die Angabe nur eines CNs ist. Wenn es mehrere FQDNs mit dem gleichen Zertifikat abgedeckt werden müssen, müssen diese als subjectAltNames eingegeben werden. Dies können Sie mit folgendem OpenSSL Befehl unter Unix/Linux erreichen:

openssl req -new -key private.pem -out request.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/L=Aachen/O=RWTH Aachen/CN=name.rwth-aachen.de" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name1.rwth-aachen.de,DNS:name2.rwth-aachen.de"))

 

Windows

 Windows Nutzer
csr.conf Datei generieren, folgendes eintragen:

prompt = no

distinguished_name = req_distinguished_name

req_extensions = req_ext

 

[req_distinguished_name]

C=DE

ST=Nordrhein-Westfalen

L=Aachen

O=RWTH Aachen

CN=name1.domain.rwth-aachen.de

 

[req_ext]

subjectAltName = @alt_names

 

[alt_names]

DNS.1 = name1.domain.rwth-aachen.de

DNS.2 = name2.domain.rwth-aachen.de

Jetzt den OpenSSL Befehl geben:openssl req -new -key private.pem -config csr.conf -out request.pem

Weitere Schritte:

zuletzt geändert am 06.07.2022

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz