Digitalen Zertifikatsantrag erstellen


Sie erzeugen in diesem Schritt eine Datei mit der Endung .req wobei die Datei selbst den Namen des zu zertifizierenden Servers trägt. Möchten Sie zum Beispiel einen Server zertifizieren der die Bezeichnung kaffeebar.rz.uni-konstanz.de hat, so wird die entsprechende Datei nach Ausführung dieses Schrittes kaffeebar.req heissen.

  1. Ersetzen der OpenSSL Konfigurationsdatei
    Ersetzen Sie die OpenSSL Konfigurationsdatei openssl.c(o)n(f) auf ihrem System durch die bereitgestellte Datei openssl.conf. Diese Datei enthält die Grundkonfiguration für OpenSSL die Sie für den Zertifikatsantrag benötigen.

    Tipp: Die OpenSSL Konfigurationsdatei befindet sich auf Unix/Linux Systemen meist in dem Verzeichnis /etc/ssl/. Alternativ können Sie auch mittels des Kommandos:

    find /etc -name "openssl.c*n*" 
    direkt nach der Konfigurationsdatei im Verzeichniss /etc und allen Unterverzeichnissen suchen. Die gefundene(n) Datei(en) werden dann mit der entsprechenden Pfadangabe auf der Konsole ausgegeben.
  2. Erzeugen einer Zufallsdatei
    Erzeugen Sie über die Kommandozeile eine Zufallsdatei die zur Berechnung eines digitalen Schlüssels benötigt wird (Schritt iii.). Eine Zufallsdatei können Sie mit dem folgenden Befehl generieren:
    dd if=/dev/urandom of=urandom.file bs=1b count=1k 
    Nach diesem Schritt sollte sich in dem aktuellen Verzeichnis eine Datei mit dem Namen urandom.file befinden.

    Tipp: mit dem Kommando

    ls 
    können Sie sich den Inhalt des aktuellen Verzeichnis ausgeben lassen.
  3. Erzeugen eines digitalen, privaten Schlüssels
    Erzeugen Sie mittels der eben generierten Zufallsdatei urandom.file einen digitalen, privaten Schlüssel. Dieser Schlüssel wird benötigt um den eigentlichen Zertifikatsantrag zu erzeugen.

    • Mit Passwortschutz: In diesem Fall werden Sie aufgefordert ein Passwort zu vergeben. Sie benötigen dieses Passowort dann im nächsten Schritt damit der eigentliche Zertifikatsantrag generiert werden kann. Sollten Sie das Passwort vergessen haben müssen Sie erneut bei Schritt (ii.) beginnen.
      openssl genrsa -aes256 -rand urandom.file -out private.key 2048 
    • Ohne Passwortschutz:
      openssl genrsa -rand urandom.file -out private.key 2048 
    Nach diesem Schritt befindet sich eine neue Datei mit dem Namen private.key in dem aktuellen Verzeichnis.
  4. Erzeugen des digitalen Zertifikatantrags
    Verwenden Sie folgendes Kommando um den endgültigen Zertifikatantrag (codiert im PEM Format) zu generieren:
    openssl req -new -key private.key -out .req -config openssl.conf 
    Ersetzen Sie dabei durch den Namen des zu zertifizierenden Servers. Es reicht wenn Sie in diesem Schritt den einfachen Namen des Rechners angeben.

    Beispiel: Um einen Zertifikatsantrag für den Server mit dem Namen kaffeebar.rz.uni-konstanz.de zu generieren würden Sie das obige Kommando wie folgt nutzen ::

    openssl req -new -key private.key -out kaffeebar.req -config openssl.conf 
    Wärend der Erzeugung des Zertifikatantrags werden Sie gebeten folgende Angaben zu bestätigen bzw. einzugeben. Die voreingestellten Werte werden dabei immer in eckigen Klammern "[" und "]" angezeigt und können mit der Entertaste übernommen werden.

    • Country Name [DE]: Dies ist der 2-stellige Ländercode. Die Voreinstellung ist DE für Deutschland und muss so übernommen werden.
    • State or Province Name [Baden-Wuerttemberg]: Dies ist der Name des Bundeslandes. Die Voreinstellung ist Baden-Wuerttemberg und muss so übernommen werden. Bitte beachten Sie, dass keine Umlaute verwendet werden sondern die alternative Schreibweise "ae", "oe", "ue".
    • Locality Name [Konstanz]: Der Name der Stadt. Die Voreinstellung ist Konstanz und muss so übernommen werden.
    • Organizational Unit []: Dies ist zum Beispiel der Fachbereich, die Sektion oder ein anderer Organisationsbereich. Ein Beispiel wäre Fachbereich Informatik & Informationswissenschaft oder Rechenzentrum. Diese Angabe ist optional.
    • Common Name [.uni-konstanz.de]: Geben Sie hier den (voll qualifizierten) Namen des Servers an den Sie zertifizieren wollen. Ersetzen Sie dazu durch den Namen Ihres Servers (inkl. einer optionalen sub-domain wie z.B. kaffeebar.rz.uni-konstanz.de).

      Beispiel: Für den Server mit dem Namen kaffeebar.rz.uni-konstanz.de der sich im Subnetz des Rechenzentrums (rz) des Universitätsnetzes (uni-konstanz.de) befindet würden Sie hier kaffeebar.rz.uni-konstanz.de eintragen.

      Wichtig: Diese Angabe ist zwingend nötig für die Zertifizierung, übernehmen Sie also bitte auf keinen Fall die Voreinstellung!

    • System Administrators E-Mail Address [.@uni-konstanz.de]: Geben Sie hier die E-Mail-Adresse des Administrators an der den zu zertifizierenden Server betreut.