Zertifikatsrequest (CSR) erstellen
In zwei meiner Artikel habe ich bereits beschrieben, wie man selbst ein SSL Zertifikat für seinen Server erstellt. Ich habe gezeigt wie das für Apache und für den Tomcat funktioniert. Die ist aber nur für Tests zu empfehlen. Will man nun produktiv arbeiten wird ein Zertifikat benötigt, welches von einer externen Quelle zertifiziert wurde. Viele Anbieter bieten bereits preisgünstige (für 30 Tage sogar kostenlose) Zertifikate an.
Zertifikatsrequest (CSR) erstellen
Für ein Zertifikat benötigt man einen so genannten Zertifikatsrequest (CSR). Diesen erstellt man wie folgt.
Key für die Domain erstellen
Der erste Schritt ist die Erstellung eines Schlüssels (Key) für die Domain. Dabei muss man peinlich darauf achten, dass man auch als Domain den Fully Qualified Domain Name (FQDN) einträgt. Diesen kann man bei Linux so auslesen:
hostname --fqd
Achtung: www.domain.com ist nicht gleich domain.com. Das sind 2 unterschiedliche Domainnamen.
Erstellt wird der Schlüssel mit diesem Befehl:
openssl genrsa -des3 -out www.domain.com.key 2048
Hier darf man gerne seinen eigenen Domainnamen eintragen. Der Befehl führt zu einer Eingabe einer Passphrase. Diese sollte man sich merken!
Zertifikatsrequest erstellen
Mit dem Schlüssel können wir nun unseren Zertifikatsrequest erstellen. Dazu verwenden wir folgenden Befehl:
openssl req -new -key www.domain.com.key -out www.domain.com.csr
Nun muss die beim Schlüssel eingegebenen Passphrase eingeben. Danach werden einige Dinge abgefragt, die wir ausfüllen müssen. Die komplette Liste umfasst neben dem Namen auch Adressdaten. Man sollte darauf achten, dass die eigegebenen Informationen auch zu den Informationen der Domain passen.Falls man nicht mehr weiß welche Informationen man bei der Registrierung der Domain angegeben hat, kann man das über eine WHOIS abfrage nachholen:
whoid domain.com
Hat man hier alle Fragen beantwortet wird anhand der Antworten ein Zertifikatsrequest erstellt. Den Inhalt dieser Datei kopiert man und kann nun bei SSL Zertifikats Anbietern ein Zertifikat beantragen.
Fazit
Ein Zertifikatsrequest (CSR) ist recht einfach zu erstellen und benötigt nur etwas manuellen Aufwand. Mit dem CSR kann man das Zertifikat bei einem Anbieter signieren lassen und man bekommt *.crt Dateien mit den Zertifikatsdaten zurück. Wenn alles geklappt hat ist die eigene Homepage danach über SSL beziehungsweise TLS geschützt.
Heyho,
guck dir mal StartSSL an, da bekommst du die Zertifikate kostenlos, du bekommst eine Bestätigungsmail an hostmaster/postmaster/webmaster@domain.com, danach kannst du dir das Zertifikat erstellen. Mein Apache benutzt auch deren Zertifikate, der einzige Nachteil, du musst für jede Subdomain ein extra Zertifikat erstellen.
Danke für die Information!