Openssl Multi-Domain CSR erstellen

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Dieser Artikel erklärt, wie man mittels openssl eine Zertifikatsanfrage (CSR) für Multi-Domain-Zertifikate erstellen kann. Entsprechende Anbieter wie Comodo, Thawte oder Geotrust benötigen für die Ausstellung eines SSL-Zertifikats eine CSR-Datei, die die wichtigsten Informationen zu Ihrem Zertifikat und Ihrer Firma enthält.

In den folgenden Schritten wird die Erstellung des Private-Keys und einer CSR-Datei erklärt.

Die Datei req.conf erstellen

 cd /etc/ssl
 touch req.conf

Tragen Sie hier folgenden Inhalt in die Datei ein:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = BY
L = Freyung
O = Ihr Firmenname
OU = Abteilung XY
CN = www.ihre-firma.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.ihre-firma.de
DNS.2 = ihre-firma.de
DNS.3 = www.ihrefirma.de
DNS.4 = ihrefirma.de

Den Private Key erstellen

Csr-decode.png
openssl genrsa -out ihre-firma.de.key.2015 2048 

Das CSR erstellen

 openssl req -new -out ihre-firma.de.csr.2015 -key ihre-firma.de.key.2015 -config req.conf 

Wichtig ist, dass Sie bei den "alt-names" alle möglichen Varianten eintragen, da laut RFC 6125, zuerst die SAN-Einträge gecheckt werden und falls welche existieren, wird der CN nicht immer nochmal überprüft. Kurz und knapp: falls SAN-Einträge existieren, wird der CN in manchen Fällen ignoriert. Im CN sollten Sie trotzdem immer die Haupt-Domain eintragen.

Das CSR überprüfen

Vorab können Sie das CSR überprüfen lassen: Check and decode CSR

Danach geben Sie das CSR an den entsprechenden Dienstleister weiter, damit die Ausstellung des Zertifikats erfolgen kann.


Foto Jonas Sterr.jpg

Autor: Jonas Sterr

Ich beschäftige mich mit den Themen Software Defined Storage, Proxmox Virtualisierung auf Basis von KVM, QEMU & Ceph im Produktmanagement der Thomas-Krenn.AG in Freyung. Proxmox ist meine absolute Leidenschaft und ich freue mich gerne über Kontaktanfragen und einen Austausch auf LinkedIn.


Das könnte Sie auch interessieren

Linux Analyse der Ausführungszeit mit time
Linux Kernel Versionen 6.x
Windows Passwort löschen - Kennwortsperre umgehen unter Windows 10