Zum Hauptinhalt springen

Zertifikatsignierungsanforderung (CSR) erstellen

Wozu wird ein CSR benötigt?

Um ein SSL Zertifikat ausstellen zu lassen, ist im ersten Schritt die Erstellung eines sogenannten CSR notwendig. CSR steht für "Certificate Signing Request" und stellt einen digitalen Antrag zur Ausstellung eines SSL Zertifikates dar.

SSL Zertifikat über Nine bestellen

Wenn Sie ein SSL Zertifikat direkt über Nine für eines unserer Managed Produkte beziehen, ist das Erstellen eines CSR nicht erforderlich.

Die Erstellung eines CSR ist nur dann erforderlich, wenn Sie für Root Produkte oder über Dritte ein SSL Zertifikat beziehen möchten.

Wo soll das CSR erstellt werden?

Das CSR (und der private Schlüssel) kann auf Ihrem Webserver generiert werden. Somit ist auch sichergestellt, dass der private Schlüssel die sichere Umgebung des Servers nicht verlässt.

Vorbereitung

Zur Erstellung der CSR verwenden wir in dieser Anleitung OpenSSL. Wenn das Programm in Ihrer Root-Umgebung nicht verfügbar ist, muss es zuerst installiert werden. In verwalteten Umgebungen ist das Programm Teil der Grundkonfiguration.

Die folgende Beschreibung verwendet Standardverzeichnisse unserer verwalteten Umgebungen. Bitte passen Sie diese für Root-Umgebungen entsprechend Ihren Bedürfnissen an.

  1. Legen Sie das Verzeichnis an, das über einen Webserver nicht direkt erreichbar ist und verhindert, dass der "private Schlüssel" versehentlich öffentlich wird:

    mkdir -p ~/.ssl/
    cd ~/.ssl/

  2. Erstellen Sie eine OpenSSL-Konfiguration:

    cat <<'EOT' >> openssl.conf
    [req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req

    [req_distinguished_name]

    [v3_req]
    subjectAltName = ${ENV::SAN}
    # keyUsage = keyEncipherment, dataEncipherment
    # extendedKeyUsage = serverAuth
    EOT

Erstellung der CSR

Mit folgendem Befehl wird sowohl die CSR als auch der zugehörige "Private Key" für die Domain example.ch erstellt.

SAN=DNS:example.ch,DNS:www.example.ch openssl req -new -subj "/C=CH/ST=Zuerich/L=Zuerich/O=Example AG/CN=example.ch/" -sha256 -newkey rsa:4096 -nodes -keyout SSL_example.ch.key -out SSL_example.ch.csr -config openssl.conf

Die Verwendung von Umlauten, Sonderzeichen (z.B. Akzente im Französischen) und Abkürzungen sollte unbedingt vermieden werden.

Ländername

2-stelliger Ländercode nach ISO 3166 (CH = Schweiz)

Name des Staates oder der Region

Der Kanton/die Provinz, in dem/der die Person oder das Unternehmen, für das die CSR erstellt wird, registriert ist

Name der Organisation

Geben Sie hier den Namen Ihres Unternehmens oder Ihrer Vereinigung an. Wenn das Zertifikat für eine natürliche Person ausgestellt werden soll, geben Sie den vollständigen Namen der Person an.

Common Name

Geben Sie den Domainnamen an, der durch das Zertifikat geschützt werden soll (oder *.example.ch für Wildcard-Zertifikate).

Standardzertifikate enthalten normalerweise automatisch die Subdomain "www". Dies gilt jedoch nicht für Multi-Domain-Zertifikate. Wenn Sie Ihr Zertifikat über einen Drittanbieter beziehen möchten, klären Sie bitte die genauen Konditionen vorab mit dem Anbieter.

Wildcard-Zertifikate decken eine Sudomain-Ebene ab.

Zum Beispiel, *.example.ch umfasst www.example.ch und staging.example.ch, aber nicht www.staging.example.ch.

www.staging.example.ch würde mit einem Wildcard-Zertifikat für *.staging.example.ch abgedeckt werden.

Das SSL-Zertifikat kann später nur für die hier hinterlegte Domain verwendet werden.