SSLmentor

Hochwertige TLS/SSL-Zertifikate für Websites und Internetprojekte.

Client-Login
OpenSSL

OpenSSL

Schlüsselgenerierung und Zertifikatsignierungsanforderung (CSR)

Das Erstellen eines privaten Schlüssels und das Anfordern eines Zertifikats (öffentlicher Schlüssel) kann in OpenSSL mit einem einzigen Befehl und der Eingabe der erforderlichen Informationen gelöst werden. Zertifikatsanforderung (CSR) und Private Key Generierung können ebenfalls bequem in der SSLmentor Kundenverwaltung durchgeführt werden.

OpenSSL

Um mit Zertifikaten arbeiten zu können, muss die OpenSSL-Bibliothek installiert sein. Siehe das OpenSSL für Windows und Mac OSX-Seite für Anweisungen und Download-Links.

Generieren einer Zertifikatsanforderung (CSR) und eines privaten Schlüssels

Der Befehl erstellt einen privaten Schlüssel sowie eine Zertifikatsanforderung. Sie müssen einen Pfad angeben, um die Dateien in einem anderen Verzeichnis abzulegen.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Für Schlüsselgenerierungs- und Zertifikatsanfragen ist es wichtig, dass die Anfrage die richtigen Informationen enthält. Die Auswahl von rsa: 2048 bedeutet die Einstellung der Schlüssellänge. Für eine höhere Sicherheit kann rsa: 3072 oder rsa: 4096 eingestellt werden.
Wichtig! Sie müssen den Domainnamen und den Ländercode immer nach ISO-Standard ausfüllen. Lassen Sie den Punkt "Ein Challenge-Passwort" leer!

OpenSSL - allgemeines Zertifikat

Verifizierung der Zertifikatsanforderung (CSR)

Um zu überprüfen, ob der CSR (Certificate Signing Request) korrekt ist, können wir den Befehl mit dem hinzugefügten Parameter "-verify" ausführen. Es ist ratsam, eine Überprüfung durchzuführen, bevor Sie die Anfrage an die Zertifizierungsstelle senden. Alternativ empfehlen wir, Ihren CSR mit dem Tool von DigiCert zu testen – Check Ihr CSR.

openssl req -in request.csr -text -noout -verify

In der Zertifikatsanforderung eingegebene Informationen

Die folgenden Informationen werden beim Generieren der Schlüssel eingegeben (ein Beispiel zum Ausfüllen ist nach dem Pfeil angegeben).

  • Common name [CN]: Domänenname -> www.sslmentor.com
  • Organization [O]: genauer Firmenname, Domaininhaber -> Web Security s.r.o.
  • Organizational unit [OU]: Unternehmensbereich -> Internet / E-Shop / IT / ...
    Ab dem 1. September 2022 haben öffentliche TLS-Zertifikate keine Organisationseinheit mehr und ignorieren die Organisationseinheit.
  • City/locality [L]: Stadt -> Prag
  • State/province [S]: -> Tschechische Republik
  • Country/region [C]: Ländercode nach ISO -> CZ
  • Key Size: 2048 bit

Wir empfehlen, den Domainnamen genau so einzugeben, wie er auf dem Server eingestellt ist und im Browser angezeigt wird. Obwohl Zertifizierungsstellen beide Varianten in das Zertifikat einfügen (mit und ohne www vor dem Domainnamen), werden bei Multi-Domain-Zertifikaten nicht beide Varianten eingefügt.
Die maximale Anzahl von Zeichen für Common Name [CN] und Organization [O] beträgt 64. Weitere Regeln finden Sie unter die Baseline-Anforderungen und RFC 5280-Verstöße.

Land/Region [C]:
  • DE - Deutschland
  • AT - Österreich
  • GB - Großbritannien
  • IE - Irland
  • CZ - Tschechische Republik
  • HU - Ungarn
  • PL - Polen

Der Ländercode muss exakt nach ISO in GROSSBUCHSTABEN eingegeben werden.
Eine Übersicht der ISO-Ländercodes finden Sie auf der Website der International Organization for Standardization www.iso.org.

Was ist ein Challenge password?

Beim Generieren des Zertifikats wird der Eintrag "A challenge password" angeboten. Immer leer lassen, sonst lehnt die CA den Auftrag ab. Das Challenge-Passwort ist in RFC 2985 als Zertifikatssperrpasswort definiert.

Mindestinformationen für DV-Zertifikate

Domainzertifikate (DV) enthalten nur Domaininformationen und alle anderen im Antrag eingegebenen Daten werden von der Zertifizierungsstelle gelöscht.
Beispielsweise lauten die Informationen im SSL-Hauptteil des PositiveSSL-Zertifikats nur:

  • CN = domain.com
  • OU = PositiveSSL
  • OU = Domain Control Validated

Die Mindestinformationen, die für Domain-Zertifikate< eingegeben werden müssen für die Ausstellung eines Zertifikats ist Common name [CN] und Country/region [C]. Wir empfehlen Ihnen jedoch, aufgrund einer möglichen Ablehnung durch eine Zertifizierungsstelle alle Informationen auszufüllen.

Wohin als nächstes?

Zurück zur Infozentrum
Fehler gefunden oder etwas nicht verstanden? Schreiben Sie uns!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum