Openssl Multi-Domain CSR erstellen
Dieser Artikel erklärt, wie man mittels openssl eine Zertifikatsanfrage (CSR) für Multi-Domain-Zertifikate erstellen kann. Entsprechende Anbieter wie Comodo, Thawte oder Geotrust benötigen für die Ausstellung eines SSL-Zertifikats eine CSR-Datei, die die wichtigsten Informationen zu Ihrem Zertifikat und Ihrer Firma enthält.
In den folgenden Schritten wird die Erstellung des Private-Keys und einer CSR-Datei erklärt.
Die Datei req.conf erstellen
cd /etc/ssl touch req.conf
Tragen Sie hier folgenden Inhalt in die Datei ein:
[req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no [req_distinguished_name] C = DE ST = BY L = Freyung O = Ihr Firmenname OU = Abteilung XY CN = www.ihre-firma.de [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = www.ihre-firma.de DNS.2 = ihre-firma.de DNS.3 = www.ihrefirma.de DNS.4 = ihrefirma.de
Den Private Key erstellen
openssl genrsa -out ihre-firma.de.key.2015 2048
Das CSR erstellen
openssl req -new -out ihre-firma.de.csr.2015 -key ihre-firma.de.key.2015 -config req.conf
Wichtig ist, dass Sie bei den "alt-names" alle möglichen Varianten eintragen, da laut RFC 6125, zuerst die SAN-Einträge gecheckt werden und falls welche existieren, wird der CN nicht immer nochmal überprüft. Kurz und knapp: falls SAN-Einträge existieren, wird der CN in manchen Fällen ignoriert. Im CN sollten Sie trotzdem immer die Haupt-Domain eintragen.
Das CSR überprüfen
Vorab können Sie das CSR überprüfen lassen: Check and decode CSR
Danach geben Sie das CSR an den entsprechenden Dienstleister weiter, damit die Ausstellung des Zertifikats erfolgen kann.
Autor: Jonas Sterr Ich beschäftige mich mit den Themen Software Defined Storage, Proxmox Virtualisierung auf Basis von KVM, QEMU & Ceph im Produktmanagement der Thomas-Krenn.AG in Freyung. Proxmox ist meine absolute Leidenschaft und ich freue mich gerne über Kontaktanfragen und einen Austausch auf LinkedIn.
|