GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Generieren Sie eine Zertifikatsignierungsanforderung

Bevor Sie ein SSL-Zertifikat (Secure Socket Layer) installieren können, müssen Sie zunächst eine Zertifikatsignierungsanforderung (CSR) generieren. Verwenden Sie dazu eine der folgenden Methoden:

  • (Linux®-Server) OpenSSL
  • (Microsoft® Windows® Server) Internet Information Services (IIS) Manager
  • (Cloud-Kunden) Cloud Control Panel
  • (Verwaltete Kunden) MyRackspace Portal

OpenSSL

In den folgenden Abschnitten wird beschrieben, wie Sie mit OpenSSL eine CSR für einen einzelnen Hostnamen generieren. Wenn Sie eine CSR für mehrere Hostnamen erstellen möchten, empfehlen wir die Verwendung des Cloud Control Panels oder des MyRackspace-Portals.

Installieren Sie OpenSSL

Überprüfen Sie mit dem folgenden Befehl, ob OpenSSL installiert ist:

  • CentOS® und Red Hat® Enterprise Linux®

    rpm -qa | grep -i openssl

    Die folgende Ausgabe ist ein Beispiel dafür, was der Befehl zurückgibt:

    openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

  • Debian® und das Betriebssystem Ubuntu®

    dpkg -l | grep openssl

    Die folgende Ausgabe ist ein Beispiel dafür, was der Befehl zurückgibt:

    ii  libgnutls-openssl27:amd64           2.12.23-12ubuntu2.4              amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                             1.0.1f-1ubuntu2.16               amd64        Secure Sockets Layer toolkit - cryptographic utility

Wenn die vorherigen Pakete nicht zurückgegeben werden, installieren Sie OpenSSL, indem Sie den folgenden Befehl ausführen:

  • CentOS und Red Hat

    yum install openssl openssl-devel

  • Debian und das Ubuntu-Betriebssystem

    apt-get install openssl

Generieren Sie den RSA-Schlüssel

Führen Sie die folgenden Befehle aus, um ein Verzeichnis zu erstellen, in dem Sie Ihren RSA-Schlüssel speichern, und ersetzen Sie ihn durch einen Verzeichnisnamen Ihrer Wahl:

mkdir ~/domain.com.ssl/
cd ~/domain.com.ssl/

Führen Sie den folgenden Befehl aus, um einen privaten Schlüssel zu generieren:

openssl genrsa -out ~/domain.com.ssl/domain.com.key 2048

CSR erstellen

Führen Sie den folgenden Befehl aus, um eine CSR mit dem privaten RSA-Schlüssel zu erstellen (die Ausgabe erfolgt im PEM-Format (Privacy-Enhanced Mail):

openssl req -new -sha256 -key ~/domain.com.ssl/domain.com.key -out ~/domain.com.ssl/domain.com.csr

Wenn Sie dazu aufgefordert werden, geben Sie die erforderlichen Informationen zum Erstellen einer CSR ein, indem Sie die in der folgenden Tabelle gezeigten Konventionen verwenden.

Hinweis: Sie können die folgenden Zeichen nicht im Organisationsnamen verwenden oder Organisationseinheit Felder:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

Feld Erklärung Beispiel
Allgemeiner Name Der vollständig qualifizierte Domänenname, für den das Zertifikat gilt. Die Domainnamen example.com und www.example.com unterscheiden sich voneinander, stellen Sie also sicher, dass Sie Ihre Anfrage für die richtige Domain einreichen. Wenn Sie ein Wildcard-Zertifikat kaufen, verwenden Sie *.example.com . beispiel.com
Organisationsname Der genaue rechtsgültige Name Ihrer Organisation. Die Zertifizierungsstelle (CA) versucht möglicherweise zu bestätigen, dass Ihre Organisation echt und rechtmäßig registriert ist, also kürzen Sie keine Wörter ab, die nicht im offiziellen Namen der Organisation abgekürzt sind. Beispiel Inc.
Organisationseinheit Die Zweigstelle Ihrer Organisation, die die Anfrage stellt. Marketing
Stadt/Ort Die Stadt, in der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Städtenamen nicht ab. San Antonio
Staat/Provinz Das Bundesland oder die Provinz, in dem bzw. der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Namen des Staates oder der Provinz nicht ab. Texas
Land/Region Die aus zwei Buchstaben bestehende Abkürzung der International Standards Organization (ISO) für Ihr Land. USA

Warnung: Lassen Sie das Challenge-Passwort leer (drücken Sie Enter ).

Verifizieren Sie Ihren CSR

Führen Sie den folgenden Befehl aus, um Ihre CSR zu überprüfen:

openssl req -noout -text -in ~/domain.com.ssl/domain.com.csr

Nachdem Sie Ihre CSR verifiziert haben, können Sie sie bei einer Zertifizierungsstelle einreichen, um ein SSL-Zertifikat zu erwerben.

Windows IIS-Manager

Führen Sie die folgenden Schritte aus, um eine CSR mit dem Windows IIS-Manager zu generieren:

Hinweis: Die folgenden Schritte gelten für IIS 8 oder IIS 8.5 auf Windows Server 2012.

  1. Öffnen Sie den IIS-Manager.

  2. Auf der linken Seite Verbindungen Klicken Sie im Fensterbereich auf den Server, für den Sie eine CSR generieren möchten.

  3. Im zentralen Server Home Bereich unter dem IIS Doppelklicken Sie im Abschnitt auf Serverzertifikate .

  4. Auf der rechten Seite Aktionen Klicken Sie im Bereich auf Zertifikatsanforderung erstellen .

  5. Im Zertifikat anfordern Wizard auf den Distinguished Name Properties Geben Sie die folgenden Informationen ein und klicken Sie dann auf Weiter .

    Feld Erklärung Beispiel
    Allgemeiner Name Der vollständig qualifizierte Domänenname, für den das Zertifikat gilt. Die Domainnamen example.com und www.example.com unterscheiden sich voneinander, stellen Sie also sicher, dass Sie Ihre Anfrage für die richtige Domain einreichen. Wenn Sie ein Wildcard-Zertifikat kaufen, verwenden Sie *.example.com . beispiel.com
    Organisationsname Der genaue rechtsgültige Name Ihrer Organisation. Die Zertifizierungsstelle versucht möglicherweise zu bestätigen, dass Ihre Organisation echt und rechtmäßig registriert ist, also kürzen Sie keine Wörter ab, die nicht im rechtlichen Namen der Organisation abgekürzt sind. Beispiel Inc.
    Organisationseinheit Die Zweigstelle Ihrer Organisation, die die Anfrage stellt. Marketing
    Stadt/Ort Die Stadt, in der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Städtenamen nicht ab. San Antonio
    Staat/Provinz Das Bundesland oder die Provinz, in dem bzw. der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Namen des Staates oder der Provinz nicht ab. Texas
    Land/Region Die aus zwei Buchstaben bestehende ISO-Abkürzung für Ihr Land. USA

  6. In den Eigenschaften des Kryptografieserver-Anbieters Geben Sie die folgenden Informationen ein und klicken Sie dann auf Weiter .

    • Kryptodienstanbieter :Wenn Sie keinen bestimmten Kryptografieanbieter haben, verwenden Sie die Standardauswahl.
    • Bitlänge :2048 ist die empfohlene Bitlänge.

  7. Auf den Dateinamen Seite, geben Sie den Speicherort ein, an dem Sie die Zertifikatanforderungsdatei speichern möchten, und klicken Sie dann auf Fertig stellen .

Nachdem Sie die CSR erstellt haben, können Sie sie an eine Zertifizierungsstelle senden, um ein SSL-Zertifikat zu erwerben.

Cloud-Systemsteuerung

Rackspace stellt den CSR-Generator zum Generieren einer CSR bereit. Der CSR-Generator zeigt Ihnen die CSRs, die Sie derzeit haben, und lässt Sie neue CSRs mit einem einfachen Formular erstellen. Nachdem Sie Ihre Daten eingegeben haben, kombiniert der Generator diese mit Ihrem privaten Schlüssel, sodass Sie die kombinierten verschlüsselten Informationen an eine Zertifizierungsstelle senden können.

Wenn Sie mit dem Generator fertig sind, können Sie zum Cloud Control Panel zurückkehren, indem Sie auf einen der Links in der oberen Navigationsleiste klicken oder zu login.rackspace.com gehen und Rackspace Cloud auswählen aus dem Dropdown-Produktmenü in der oberen Navigationsleiste.

Greifen Sie auf den CSR-Generator zu

Rufen Sie den CSR-Generator direkt oder über die Systemsteuerung auf, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Cloud Control Panel an und wählen Sie Rackspace Cloud aus aus dem Dropdown-Produktmenü in der oberen Navigationsleiste.
  2. Klicken Sie in der oberen Navigationsleiste auf Server> Cloud-Server .
  3. Klicken Sie auf den Namen des Servers, für den Sie eine CSR erstellen möchten.
  4. Rechts Server verwalten Abschnitt unter Hilfe bei , klicken Sie auf CSR erstellen .

Der Generator listet Ihre bestehenden CSRs auf, falls vorhanden, organisiert nach Domainnamen.

Generieren Sie eine CSR

  1. Klicken Sie auf CSR erstellen .

  2. Geben Sie die folgenden Informationen ein, die dem CSR zugeordnet werden:

    Feld Erklärung Beispiel
    Domänenname Der vollständig qualifizierte Domänenname, für den das Zertifikat gilt. Die Domainnamen example.com und www.example.com unterscheiden sich voneinander, stellen Sie also sicher, dass Sie Ihre Anfrage für die richtige Domain einreichen. Wenn Sie beide Domains sichern möchten, können Sie die Alternativen Namen verwenden aufstellen. Wenn Sie ein Wildcard-Zertifikat kaufen, verwenden Sie *.example.com . beispiel.com
    Alternative Namen (Optional) Zusätzliche Domains, die Sie der Anfrage hinzufügen möchten. Jede Zertifizierungsstelle behandelt diese anders, und die Zertifizierungsstelle kann Gebühren für zusätzliche Namen erheben. Sie können eine durch Kommas getrennte Liste einreichen. www.example.com, secure.example.com
    E-Mail-Adresse (Optional) Eine Kontakt-E-Mail-Adresse für das Zertifikat. [email protected]
    Organisationsname Der genaue rechtsgültige Name Ihrer Organisation. Die Zertifizierungsstelle versucht möglicherweise zu bestätigen, dass Ihre Organisation echt und rechtmäßig registriert ist, also kürzen Sie keine Wörter ab, die nicht im rechtlichen Namen der Organisation abgekürzt sind. Beispiel Inc.
    Organisationseinheit (Optional) Die Zweigstelle Ihrer Organisation, die die Anfrage stellt. Marketing
    Stadt Die Stadt, in der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Städtenamen nicht ab. San Antonio
    Staat oder Provinz Das Bundesland oder die Provinz, in dem bzw. der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Namen des Staates oder der Provinz nicht ab. Texas
    Land Wählen Sie Ihr Land aus dem Dropdown-Menü. Die aus zwei Buchstaben bestehende ISO-Abkürzung für Ihr Land ist im CSR enthalten. Vereinigte Staaten
    Bitlänge des privaten Schlüssels Schlüsselgrößen kleiner als 2048 gelten als unsicher und werden möglicherweise nicht von einer Zertifizierungsstelle akzeptiert. 1024,2048,4096
    Hashing-Algorithmus Beide Algorithmen werden derzeit in Mainstream-Browsern als vertrauenswürdig eingestuft und bieten die von der Industrie empfohlene Sicherheit. SHA-512 erfordert zusätzliche CPU-Verarbeitung. SHA-256, SHA-512

    Hinweis: Sie können die folgenden Zeichen nicht im Organisationsnamen verwenden oder Organisationseinheit Felder:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

  3. Nachdem Sie alle erforderlichen Informationen eingegeben haben, klicken Sie auf CSR erstellen .

Es kann zwischen 5 und 60 Sekunden dauern, bis die CSR generiert wird. Möglicherweise müssen Sie die Seite aktualisieren, auf der Ihre CSRs angezeigt werden, bevor die neue CSR aufgelistet wird.

CSR-Details anzeigen

Wenn eine CSR generiert wurde, können Sie auf ihre UUID (eindeutige Kennung) in der CSR-Liste klicken, um den Detailbildschirm anzuzeigen.

Dieser Bildschirm zeigt die von Ihnen bereitgestellten Informationen, den Text der CSR und den zugehörigen privaten Schlüssel an.

Senden Sie die CSR an die Zertifizierungsstelle

Der Text in der Zertifikatsanforderung Feld ist der CSR. Es enthält verschlüsselte Details des CSR und Ihres öffentlichen Schlüssels.

Um Ihr SSL-Zertifikat anzufordern, kopieren Sie die Zertifikatsanforderung Text und reichen Sie ihn bei Ihrer Zertifizierungsstelle ein. Schließen Sie den gesamten Text ein, einschließlich BEGIN und ENDE Zeilen am Anfang und am Ende des Textblocks.

Installieren Sie den privaten Schlüssel

Kopieren Sie den privaten Schlüssel auf den Server, der das Zertifikat hosten wird. Sehen Sie in Ihrer Anwendungsdokumentation nach, wo Sie den privaten Schlüssel und das Zertifikat auf Ihrem Server installieren müssen.

MyRackspace-Portal

Wenn Sie ein Managed- oder Dedicated-Kunde sind, können Sie eine CSR über das MyRackspace-Portal anfordern, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim MyRackspace-Portal an und wählen Sie Dedicated Hosting aus aus dem Dropdown-Produktmenü in der oberen Navigationsleiste.

  2. Klicken Sie in der oberen Navigationsleiste auf Tickets> Ticket erstellen .

  3. Auf Tickets / Neues Ticket erstellen Seite, wählen Sie Certificate Signing Request (CSR) generieren aus dem Betreff Dropdown-Liste.

  4. Geben Sie die folgenden Informationen in die Ticketdetails ein Abschnitt:

    Feld Erklärung Beispiel
    Gerät(e) Der oder die Server, für die Sie eine CSR generieren möchten. Verwenden Sie das Dropdown-Menü, um Ihre Server auszuwählen.
    Allgemeiner Name Der vollständig qualifizierte Domänenname, für den das Zertifikat gilt. Die Domainnamen example.com und www.example.com unterscheiden sich voneinander, stellen Sie also sicher, dass Sie Ihre Anfrage für die richtige Domain einreichen. Wenn Sie beide Domains sichern möchten, können Sie die Alternativen Namen verwenden aufstellen. Wenn Sie ein Wildcard-Zertifikat kaufen, verwenden Sie *.example.com . beispiel.com
    Alt. Namen (Optional) Zusätzliche Domains, die Sie der Anfrage hinzufügen möchten. Jede Zertifizierungsstelle behandelt diese anders, und die Zertifizierungsstelle kann Gebühren für zusätzliche Namen erheben. Sie können eine durch Kommas getrennte Liste einreichen. www.example.com, secure.example.com
    E-Mail-Adresse (Optional) Eine Kontakt-E-Mail-Adresse für das Zertifikat. [email protected]
    Organisation Der genaue rechtsgültige Name Ihrer Organisation. Die Zertifizierungsstelle versucht möglicherweise zu bestätigen, dass Ihre Organisation echt und rechtmäßig registriert ist, also kürzen Sie keine Wörter ab, die nicht im rechtlichen Namen der Organisation abgekürzt sind. Beispiel Inc.
    Organisationseinheit (Optional) Die Zweigstelle Ihrer Organisation, die die Anfrage stellt. Marketing
    Ort (Stadt) Die Stadt, in der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Städtenamen nicht ab. San Antonio
    Staats- oder Provinzname Das Bundesland oder die Provinz, in dem bzw. der sich Ihre Organisation rechtmäßig befindet. Kürzen Sie den Namen des Staates oder der Provinz nicht ab. Texas
    Land Wählen Sie Ihr Land aus dem Dropdown-Menü. Die aus zwei Buchstaben bestehende ISO-Abkürzung für Ihr Land ist im CSR enthalten. Vereinigte Staaten

    Hinweis: Die Bitlänge wird automatisch auf 2048 gesetzt.

  5. Klicken Sie auf Ticket erstellen .

Nächste Schritte

  • Kaufen oder erneuern Sie ein SSL-Zertifikat
  • Installieren Sie ein SSL-Zertifikat

Referenz

  • https://www.digicert.com/csr-ssl-installation/iis-8-and-8.5.htm

Linux

  1. 6 OpenSSL-Befehlsoptionen, die jeder Systemadministrator kennen sollte

  2. So generieren Sie eine Zertifikatsignierungsanforderung (CSR) unter Linux

  3. So generieren Sie ein selbstsigniertes x509-SHA256-Hash-Zertifikat mit OpenSSL

  4. Wie überprüfe ich mit OpenSSL, ob das SSL-Zertifikat SHA1 oder SHA2 ist?

  5. So generieren Sie eine Certificate Signing Request (CSR) für ein SSL

So generieren Sie eine Zertifikatssignierungsanforderung (CSR) unter Ubuntu

So generieren Sie selbstsignierte SSL-Zertifikate mit OpenSSL

Zertifizierungsstelle mit OpenSSL

Wie generiert man CSR in Plesk 17?

So generieren Sie eine CSR (Certificate Signing Request) unter Linux

Wie erstelle ich ein Openssl-Zertifikat mit einem Ablauf von weniger als einem Tag?