Erstellung eines Certificate Signing Request (CSR) auf Apache

General Information ID:    INFO198    Updated:    12/28/2015

Description

Dieses Dokument enthält Anweisungen, wie man einen Certificate Signing Request auf Apache erstellt. Wenn Sie nicht in der Lage sind, diese für Ihren Server zu verwenden, empfiehlt Symantec, dass Sie sich entweder an den Hersteller Ihrer Software wenden, oder an eine Organisation, die Apache-SSL unterstützt.
 
HINWEIS: Um einen CSR zu erstellen muss ein Schlüsselpaar auf dem Server generiert werden. Diese beiden Dateien stellen ein digitales Zertifikats-Schlüsselpaar dar, und sollten nicht getrennt werden. Wenn Ihnen der private/öffentliche Schlüssel, oder das Passwort verloren geht, oder diese Daten geändert werden, bevor das Zertifikat installiert wurde, so muss es ersetzt werden. Der private Schlüssel, CSR und das Zertifikat müssen zusammen passen, damit die Installation des Zertifikates erfolgreich ist.
 
 
 
Sehen Sie sich hier eine Video-Demo zur einfachen Erstellung eines Certificate Signing Request (CSR) auf Apache an
 
 
 
Schritt 1: Erstellen des privaten Schlüssels

Retail Kunden 
HINWEIS: Alle Zertifikat die nach Oktober 2013 auslaufen, müssen einen 2048bit Schlüssel besitzen.

 
Die Applikation "openssl" wir zur Erstellung des Schlüssels und CSR genutzt.
Das Programm ist Teil des OpenSSL-Pakets und ist normalerweise unter folgendem Dateipfad installiert: /usr/local/ssl/bin.
Sollte das Programm anderswo installiert sein, so müssten diese Instruktionen angepasst werden.
 
Geben Sie folgende Befehlszeile ein:
 
openssl genrsa -des3 -out <private key file name>.key 2048
 
Zum Beispiel:
 
Diese Befehlszeile generiert einen 2048bit RSA Schlüssel der in der Datei www.mydomain.com.key gespeichert wird.
 
Abfrage der Pass-Phrase: geben sie ein sicheres Passwort an und merken Sie sich dieses, da diese Pass-Phrase den privaten Schlüssel schützt.
 
HINWEIS: Um die Pass-Phrase Anforderung zu umgehen, lassen sie die Option -des3 aus, wenn Sie den privaten Schlüssel erstellen. Wenn der private Schlüssel ungeschützt bleibt, empfiehlt Symantec, dass der Zugang zum Schlüssel nur autorisierten Serveradministratoren gewährt wird.
 
Schritt 2: Erstellen des CSR
 
Geben Sie die folgende Befehlszeile ein:
 
openssl req -new -key <private key file name>.key -out <csr file name>.csr 
 
Zum Beispiel:


HINWEIS: Sollten Sie openSSL auf Windows nutzen, so müssen sie gegebenenfalls den Dateipfad zur openssl.cnf-Datei angeben:
openssl req -new -key <private key file name>.key -config "c:\Apache Software Foundation\Apache2.2\conf\openssl.cnf" -out <csr file name>.csr 
 
Diese Befehlszeile erfragt die folgenden X.509 Attribute für Ihr Zertifikat:
 
 
Country Name: Geben sie den zweistelligen Ländercode ohne Interpunktionen an, wie zum Beispiel: DE oder US.
 
State or Province: Geben sie den Namen des Bundeslandes/der Provinz vollständig an. Kürzen Sie den Namen nicht ab. Zum Beispiel: Nordrhein-Westfalen oder California
 
Locality or City: Dieses Feld gibt die Stadt an in der Ihre Organisation registriert ist, zum Beispiel: Berlin. Kürzen Sie den Name bitte nicht ab, sondern schreiben sie Ihn aus, wie zum Beispiel: Sankt Katharinen und nicht St. Katharinen
 
Company: Sollte die Organisation oder die Abteilung ein Sonderzeichen wie etwa &, @, oder ein anderes Symbol im Namen haben, so muss dieses einweder ausgeschrieben oder ausgelassen werden, damit das Zertifikat erfolgreich beantragt werden kann. Zum Beispiel: XY & Z Corporation wird zu XYZ Corporation oder XY und Z Corporation.
 
Organizational Unit: Dieses Feld ist optional, kann aber dazu genutzt werden Zertifikate einer bestimmten Abteilung Ihrer Organisation zuzuordnen. Um diese Eingabe zu überspringen, klicken Sie "Enter" auf Ihrer Tastatur.
 
Common Name: Der Common Name ist der Host + Domänenname. Dieser kann wie folgt aussehen "www.company.com", "company.com", etc.
 
Symantec Zertifikate können nur auf den Webservern verwendet werden, die in Verbindung mit dem Common Name, der bei der Bestellung angegeben wurde, steht. Zum Beispiel, ein Zertifikat welches für die Domäne "domain.com" ausgestellt ist, wird Ihnen eine Fehlermeldung geben, wenn sie das Zertifikat für "www.domain.com" oder "secure.domain.com" installieren, da diese Namen von "domain.com" abweichen.
 
HINWEIS: Geben Sie bitte keine Emailadresse, kein Passwort und keinen abweichenden Organisationsnamen bei der Erstellung des CSR an.
 
Ein öffentlicher/privater Schlüssel wurde nun erstellt. Der private Schlüssel (www.domain.com.key) wird lokal auf Ihrem Server aufbewahrt und wird zur Entschlüsselung genutzt. Der öffentliche Teil in Form des Certificate Signing Request (certrequest.csr), wird nun zur Bestellung des Zertifikates genutzt.
 
Um die CSR Informationen in das Bestellformular einfügen, benennen sie die Dateiendung des CSRs von *.csr nach *.txt um, öffnen Sie die Datei in einem Text Editor (Notepad oder Vi) und kopieren Sie den Inhalt. Nutzen Sie bitte nicht Microsoft Word dazu, da das Programm möglicherweise Zeichen zur Datei hinzugefügt und diese so verfälscht wird.
 
 
Sobald der CSR erstellt ist, fahren Sie bitte mit der Bestellung fort.
 
Schritt 3: Legen Sie eine Sicherheitskopie des privaten Schlüssels an
 
Symantec empfiehlt, dass Sie eine Sicherheitskopie Ihrer *.key-Datei und der zugehörigen Pass-Phrase anlegen. Es wird geraten, eine Kopie der Datei auf einem externen Gerät zu sichern. Es ist nicht vorgeschrieben, dass eine Sicherheitskopie angelegt werden muss, sollte Ihr Server aber einmal zusammenbrechen, so wäre es hilfreich eine Sicherheitskopie zu besitzen.
 
Kontakt Informationen
 
Während des Verifizierungsprozesses wird Symantec Ihre Organisation kontaktieren. Geben sie dafür Ihre Email-Adresse, Telefon- und Faxnummer im Bestellformular an,   damit die Verifizierung zeitnah durchgeführt werden kann. Diese Felder werden nicht in Ihrem Zertifikat erscheinen.

 
Sobald das Zertifikat ausgestellt wurde, folgen Sie bitte den Schritten im folgenden Link, um Ihr Zertifikat auf Ihrem Server zu installieren: INFO193

Contact Support

Find Answers