CSR Erstellen mit einem Configfile

Immer wieder müssen ja Zertifikte erstellt werden, welche dann von einer CA signiert werden müssen.

Nicht immer hat man ein schönes GUI zur Verfügung und muss es per Hand machen. Geht alles mit „openssl„.

Zunächst benötigen wir dafür ein Configfile in welchem dann alles notwendige drin steht was wir so benötigen. Am Besten per VIM und speichert das dann als www2.conf. Inhalt sollte dann ungefähr so aussehen:

[req]
default_bits = 4096
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = Hessen
L = Bad Homburg
O = phone4 GmbH
OU = Support
CN = www2.phone4.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = xxx.phone4.de
DNS.2 = yyy.phone4.de
DNS.3 = zzz.phone4.de

Man kann auch bei CN oder dann bei den alt_names auch IP Adressen eintragen, aber keine öffentliche Certificate Authority sollte so etwas unterschreiben.

Jetzt erstellen wir uns einen privaten Key:

openssl genrsa -out www2.phone4.de.key 4096

Anschliessend erstellen wir den Certificate Signing Request (CSR):

openssl req -new -out www2.phone4.de.csr -key www2.phone4.de.key -config

Das war es auch schon. CSR und nur den CSR dann zur CA des Vertrauens schicken. Der private Schlüssel (.key) verlässt unter keinen Umständen die eigene Infrastruktur!

Veröffentlicht in Tips & Tricks.

Schreiben Sie einen Kommentar