csr- erstellung - d-trust.net · pdf filecsr- erstellung vor dem kauf eines ssl-zertifikates...

CSR- Erstellung

Vor dem Kauf eines SSL-Zertifikates müssen Sie einen sogenannten CSR (Certificate Signing Request) für den Server erstellen, auf dem das Zertifikat später installiert werden soll. Wählen Sie nachfolgend für Ihre Server-Software die entsprechende Anleitung zur Erstellung einer CSR-Datei aus. Sollte Ihr Server nicht aufgeführt sein, oder wenn Sie weitere Informationen benötigen, folgen Sie den Anweisungen des Herstellers.

Bei weiteren Fragen, wenden Sie sich an unseren technischen Support unter der Nummer 030 - 259391 613 oder richten Sie Ihre Frage per E-Mail an: [email protected]

Hersteller Software Apache ApacheSSL

mod_ssl

BEA Systems WebLogic

Cisco ACS 3.2

F5 BIG-IP

IBM Websphere 5.1

Lotus Domino

Microsoft Microsoft IIS

Netscape iPlanet

Netscreen ScreenOS

Nortel SSL Accelerator

Red Hat Secure Web Server

SonicWALL SSL Offloaders

Stronghold Stronghold

Tomcat Tomcat

Apache SSL

Allgemeine Hinweise

Für die Erstellung einer Zertifikatsanfragedatei ist es wichtig ein Verständnis für die im Folgenden erklärten Bezeichnungen zu haben:

• Common Name (CN): Der Common Name setzt sich aus dem Hostnamen und dem Domainnamen zusammen. Er lautet in etwa "www.musterfirma.de" oder "musterfirma.de". SSL-Zertifikate können nur auf Servern eingesetzt werden, die den Common Name verwenden, der bei der Anmeldung angegeben wurde. Beispielsweise erhält ein Zertifikat für die Domain "musterdomain.de" beim Zugriff auf eine Site "www.musterdomain.de" oder "sichere.domain.de" eine Warnung, dass sich "www.musterdomain.de" und "verschlüsselte.musterdomain.de" von "musterdomain.de" unterscheiden. Der CN entspricht dem Fully Qualified Domain Name (FQDN). IP-Adressen werden in diesem Feld nicht unterstützt.

• Organisation (O): Namen der Antrag stellenden Organisation • Organisational Unit (OU): Abteilung oder Organisationseinheit - OPTIONAL • State (S): Bundesland, z. B. “Brandenburg” • Locality (L): Stadt, z. B. “München” • Country (C): Verwenden Sie den zweistelligen ISO-Ländercode, z. B. für Deutschland “DE”

Schritt 1: Erstellen eines privaten Schlüssels

Zur Erstellung des Schlüssels und einer CSR wird das Dienstprogramm "openssl" eingesetzt. Das Dienstprogramm wird mit dem OpenSSL-Paket geliefert und im Allgemeinen unter /usr/local/ssl/bin gespeichert. Wenn Sie es unter einem anderen Pfad installieren, müssen Sie dies in der Anleitung entsprechend berücksichtigen.

• Rufen Sie das Verzeichnis auf, in dem Sie Ihren SSL-Schlüssel speichern möchten: cd/usr/local/ssl/private.

• Erstellen Sie über folgenden Befehl einen privaten Schlüssel: openssl genrsa -des3 1024 > D-TRUST.key

Schritt 2: Erstellen eines CSR

• Rufen Sie das Verzeichnis auf, in dem Sie Ihr SSL-Zertifikat speichern möchten: cd /usr/local/ssl/crt.

• Erstellen Sie über folgenden Befehl eine CSR: openssl req -new -key /<Ihr-Ordnername>/D-TRUST.key > D-TRUST.csr

• über folgenden Befehl können Sie auch ein selbstsigniertes Zertifikat erstellen: openssl req -x509 -key /<Ihr-Ordnername>/D-TRUST.key -in D-TRUST.csr > D-TRUST.crt

Schritt 3: Online-Beantragung

• Besuchen Sie nun unsere Webseite unter http://www.d-trust.net und wählen Sie das gewünschte SSL-Zertifikatsprodukt von D-TRUST unter Produkte aus.

• Klicken Sie auf KAUFEN. Sie gelangen auf unser Bestellformular. • Machen Sie die notwendigen Angaben zum technischen Ansprechpartner und öffnen Sie die auf

Ihrem Server erzeugte Anfrage-Datei in einem Texteditor, der keine Steuerungs-Zeichen hinzufügt (z.B. Notepad empfohlen).

• Kopieren Sie deren Inhalt vollständig beginnend mit “-----------Begin New Certificate Request-----------” und endend auf “---------End Certificate Request---------“ in das dafür vorgesehene Eingabefeld auf Seite 2 des Bestellformulars.

• Vervollständigen Sie Abfragefelder zum Antrag stellenden Unternehmen • Vervollständigen Sie Abfragefelder zur Rechungsstellung und schließen Sie Ihren Antrag ab.

↑ Zurück zum Inhaltsverzeichnis

Apache mod_SSL

Allgemeine Hinweise





Zur Erstellung des Schlüssels und einer CSR wird das Dienstprogramm "openssl" eingesetzt. Das Dienstprogramm wird mit dem OpenSSL-Paket geliefert und im Allgemeinen unter /usr/local/ssl/bin

gespeichert. Wenn Sie es unter einem anderen Pfad installieren, müssen Sie dies in der Anleitung entsprechend berücksichtigen.

• Rufen Sie das Verzeichnis auf, in dem Sie Ihren SSL-Schlüssel speichern möchten: cd/usr/local/ssl/private.

• Erstellen Sie über folgenden Befehl einen privaten Schlüssel: openssl genrsa -des3 1024 > /<Ihr-Ordnername>/D-TRUST.key


• Rufen Sie das Verzeichnis auf, in dem Sie Ihr SSL-Zertifikat speichern möchten: cd /usr/local/ssl/crt.

• Erstellen Sie über folgenden Befehl eine CSR: openssl req -new -key /<Ihr-Ordnername>/D-TRUST.key > D-TRUST.csr

• über folgenden Befehl können Sie auch ein selbstsigniertes Zertifikat erstellen: openssl req -x509 -key /<Ihr-Ordnername>/D-TRUST.key -in D-TRUST.csr > D-TRUST.crt








BEA Systems- WebLogic 6.0 / WebLogic 8.1

Allgemeine Hinweise


• Common Name (CN): Der Common Name setzt sich aus dem Hostnamen und dem Domainnamen zusammen. Er lautet in etwa "www.musterfirma.de" oder "musterfirma.de". SSL-

Zertifikate können nur auf Servern eingesetzt werden, die den Common Name verwenden, der bei der Anmeldung angegeben wurde. Beispielsweise erhält ein Zertifikat für die Domain "musterdomain.de" beim Zugriff auf eine Site "www.musterdomain.de" oder "sichere.domain.de" eine Warnung, dass sich "www.musterdomain.de" und "verschlüsselte.musterdomain.de" von "musterdomain.de" unterscheiden. Der CN entspricht dem Fully Qualified Domain Name (FQDN). IP-Adressen werden in diesem Feld nicht unterstützt.



• Starten Sie das Certificate Request Generator-Servlet. Die .war-Datei für das Servlet befindet sich im Verzeichnis \wlserver6.0\config\mydomain\applications. Die .war-Datei wird automatisch beim Starten von WebLogic Server installiert.

• Geben Sie den URL des Certificate Request Generators-Servlet folgendermaßen in einen Webbrowser ein: https://hostname:port/Certificate Die einzelnen Bestandteile des URLs sind folgendermaßen definiert: hostname: Der DNS-Name des Rechners, auf dem der WebLogic-Server läuft port: Die Portnummer, unter der der WebLogic-Server nach SSL-Verbindungen sucht. Die Standardnummer ist 7002.

• Das Certificate Request Generator-Servlet lädt ein Formular in Ihren Webbrowser. • Füllen Sie das Formular aus, das in Ihrem Browser angezeigt wird. • Klicken Sie auf die Schaltfläche "Generate Request". Damit haben Sie ein Schlüsselpaar und

eine CSR erstellt.

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://edocs.bea.com








Cisco ACS 3.2

Allgemeine Hinweise





• Klicken Sie in der Navigationsleiste auf "System Configuration" • Klicken Sie auf "ACS Certificate Setup" • Klicken Sie auf "Generate Certificate Signing Request". CiscoSecure ACS zeigt auf der Seite

"Generate Certificate Signing Request" die Tabelle "Generate new request" an. Füllen Sie alle erforderlichen Felder aus

• Geben Sie in das Betreffsfeld "Certificate" die Werte ein, die für die CA benötigt werden, an die Sie die CSR richten werden. Bei Cisco Secure ACS muss einer der Werte CN lauten, z. B. CN=acs01primary. Sie können mehrere Werte angeben. Trennen Sie dazu die einzelnen Werte durch Kommas. Beispielsweise: CN=www.D-TRUST.de, O=D-TRUST, C=DE, S=Berlin, L=Berlin usw.

• Geben Sie in das Feld "Private key file" den vollständigen Verzeichnispfad und den Namen der Datei ein, in der der geheime Schlüssel gespeichert wurde, z. B. c:\privateKeyFile.pem.

• Geben Sie in das Feld "Private key password" das Passwort ein, das Sie für den privaten Schlüssel verwenden möchten. D-TRUST hat keinerlei Zugriff auf dieses Passwort und kann es nicht wiederherstellen

• Geben Sie das Passwort für den privaten Schlüssel erneut in das Feld "Retype private key password" ein


• Wählen Sie aus der Liste "Key length" die Option "1024 bits" aus • Wählen Sie aus der Liste "Digest to sign with" die Option "SHA1" aus • Klicken Sie auf "Submit". CiscoSecure ACS zeigt im Anzeigebereich rechts unter folgendem

Schriftzug eine CSR an: Now your certificate signing request is ready. You can copy and paste it into any certification authority enrollment tool.

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/acs32/index.htm








F5 Big-IP

Allgemeine Hinweise



• Organisation (O): Namen der Antrag stellenden Organisation

• Organisational Unit (OU): Abteilung oder Organisationseinheit - OPTIONAL • State (S): Bundesland, z. B. “Brandenburg” • Locality (L): Stadt, z. B. “München” • Country (C): Verwenden Sie den zweistelligen ISO-Ländercode, z. B. für Deutschland “DE”


• Erstellen Sie mit Hilfe des Konfigurationsdienstprogramms eine neue Zertifikatsanforderung • Klicken Sie im Navigationsfenster auf "Proxies" • Klicken Sie im Fenster "Proxies" auf die Registerkarte "Create SSL Certificate Request" • Wählen Sie im Abschnitt "Key Information" eine Schlüssellänge und einen Namen für die Datei

aus, in der die Schlüssel gespeichert werden • Geben Sie im Abschnitt "Certificate Information" die gewünschten Informationen zu Ihrem

Unternehmen ein • Klicken Sie auf "Generate Certificate Request"

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://www.f5.com/training-support/customer-support








IBM WebSphere

Allgemeine Hinweise





• Starten Sie das Dienstprogramm für die Schlüsselverwaltung (iKeyman) • öffnen Sie die Schlüsseldatenbankdatei, aus der Sie die Anforderung erstellen möchten • Geben Sie das Passwort ein und klicken Sie auf OK • Klicken Sie auf Create > New Certificate Request. Das Fenster "Create New Key and Certificate

Request" wird geöffnet • Geben Sie eine Schlüsselkennzeichnung, einen Common Name und eine Organisation ein und

wählen Sie dann ein Land aus • Füllen Sie auch die übrigen Felder aus, indem Sie den dort angegebenen Wert bestätigen, einen

Wert eingeben oder neue Werte auswählen. (Der Common Name (CN) muss im konfigurierten Benutzerverzeichnis für die gesicherte WebSphere-Umgebung gültig sein.)

• Geben Sie einen Namen für die Datei ein, z. B. "certreq.arm", und klicken Sie dann auf OK

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://www-306.ibm.com/software/websphere/support








Lotus Domino Server versions 5.0x

Allgemeine Hinweise




Schritt 1: Erstellen eines privaten Schlüssels und Einrichten des Schlüsselspeichers

• Starten Sie den Domino Adminstration-Client • Wählen Sie "File-Open Server" und dann den Domino-Server aus, den Sie verwalten möchten • Klicken Sie auf die Registerkarte "File" • Doppelklicken Sie auf die Datenbank "Server Certificate Administration" (certsrv.nsf) • Klicken Sie im Verwaltungsfenster auf "System Databases" und wählen Sie auf dem lokalen

Rechner "Open Domino Server Certificate Administration" (CERTSRV.NSF) aus • Klicken Sie auf "Create Key Ring" • Geben Sie in das Feld "Key Ring File Name" einen Namen für die Schlüsselbunddatei ein • Geben Sie in das Feld "Key Ring Password" ein Passwort für die Server-Schlüsselbunddatei ein.

Das Passwort besteht aus Buchstaben und Zahlen und schützt den Schlüsselbund vor nicht autorisiertem Zugriff. Bei diesem Passwort muss die Groß-/Kleinschreibung beachtet werden. Das Passwort sollte aus mindestens 12 alphanumerischen Zeichen bestehen.)

• Geben Sie die einzelnen Bestandteile des Distinguished Name Ihres Servers ein

• Klicken Sie auf "Create Key Ring" • Klicken Sie auf OK, nachdem Sie die Informationen zur Schlüsselbunddatei und zum

Distinguished Server Name gelesen haben


• Klicken Sie auf "Create Certificate Request" • Wenn Sie Informationen zu dieser Anforderung in der Anwendung "Server Certificate

Administration" speichern möchten, klicken Sie im Feld "Log Certificate Request" auf "Yes". Ist das nicht der Fall, wählen Sie "No" aus

• Klicken Sie auf "Create Certificate Request" • Geben Sie das Passwort der Schlüsselbunddatei ein, das Sie in Schritt 7 angegeben haben

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://www-306.ibm.com/software/lotus/support








Microsoft IIS 5.0 / 6.0

Allgemeine Hinweise





• öffnen Sie unter "Verwaltung" den Internetdienste-Manager • öffnen Sie das Fenster "Properties" (Eigenschaften), indem Sie mit der rechten Maustaste auf

den Namen der Website klicken, die Sie sichern möchten • Klicken Sie auf das Register "Directory Security" (Verzeichnissicherheit) • Klicken Sie unter "Secure communications" (Sichere Kommunikation) auf "Server Certificate"

(Serverzertifikat). Wenn Sie diese Option zum ersten Mal verwenden, ist die Schaltfläche "Edit"( Bearbeiten) noch abgeblendet

• Wählen Sie die Option "Create a new certificate" (Neues Zertifikat erstellen) • Wählen Sie die Option "Prepare the request now, but send it later" (Anforderung jetzt

vorbereiten, aber später senden) • Geben Sie alle Daten an, die bei der Erstellung des privaten Schlüssels, der lokal auf Ihrem

Server gespeichert wird, und des öffentlichen Schlüssels (der Certificate Signing Request), den Sie während der Anmeldung verwenden werden, vom IIS-Certificate-Assistenten angefordert werden

• Klicken Sie auf "Fertig stellen", um den IIS-Certificate-Assistenten zu schließen

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://support.microsoft.com








Netscape iPlanet 4.x / 6.x

Allgemeine Hinweise




Schritt 1: Einrichten des Schlüsselspeichers

• Markieren Sie die Server-Instanz, die Sie verwalten möchten, und klicken Sie auf "Manage" • Klicken Sie auf "Security" • Klicken Sie auf "Create Database" • Geben Sie ein Passwort für diese Datenbank ein und bestätigen Sie es


• Klicken Sie auf "Request a Certificate" • Geben Sie Ihre E-Mail-Adresse als CA-E-Mail-Adresse ein. d-trust verwendet diese E-Mail-

Adresse nicht für die Annahme von Zertifikaten. Es wird Ihnen also eine Kopie übermittelt

• Geben Sie ein Passwort für die Schlüsselpaardatei ein, mit dem Sie Ihre Schlüssel schützen. Dieses Passwort kann mit dem der Schlüsseldatenbank identisch sein

• Tragen Sie alle CSR-Informationen ein und klicken Sie auf "OK" • Der Server erzeugt den CSR und zeigt sie auf der Seite an. öffnen Sie die Datei in einem

Texteditor, der keine Zeichen hinzufügt (z.B. Notepad empfohlen), kopieren Sie die Daten und fügen Sie sie in das Anmeldeformular ein

• Klicken Sie auf "Apply", um die änderungen zu übernehmen

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://docs.sun.com/app/docs/coll/S1_ipwebsrvee40?l=de








Netscreen - ScreenOS

Allgemeine Hinweise





• öffnen Sie das WebUI • Klicken Sie im Menü "Options" auf "Configuration" und dann auf "Date/Time" • Klicken Sie auf der Seite "Date/Time" auf "Sync Click with Client". Vergewissern Sie sich, dass

die Option "Automatically adjust clock for daylight savings changes" markiert ist • Klicken Sie im Menü "Options" auf "Network" und dann auf "DNS" • Geben Sie den Hostnamen in das Textfeld "Hostname" und den Domainnamen in das Textfeld

"Domain name" ein. Aus diesen beiden Namen setzt sich der Common Name zusammen • Klicken Sie im Menü "Options" auf "Objects", "Certificates" und dann auf "New" • Füllen Sie die erforderlichen Felder aus und klicken Sie auf "Generate"

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://www.juniper.net/customers/support








Nortel SSL Accelerator

Allgemeine Hinweise





• Klicken Sie auf SSL > Certificates > Generate > Request • Wählen Sie die neu erstellte Zertifikatkennzeichnung oben aus dem Dropdown-Menü aus • Geben Sie in die entsprechenden Felder den Common Name, die Organisation und den Standort

ein • Wählen Sie im Feld "Key size" die Option "1024" aus. Diese Einstellung ist vermutlich bereits

standardmäßig vorgegeben • Klicken Sie auf "Update" • Klicken Sie oben im Fenster auf die Schaltfläche "Apply"

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://support.nortel.com








Red Hat − Secure Webserver

Allgemeine Hinweise




Schritt 1: Erstellen des privaten Schlüssels und Einrichten des Schlüsselspeichers

• Verwenden Sie den cd-Befehl, um das Verzeichnis /etc/httpd/conf aufzurufen • Geben Sie als Root einen der folgenden drei Befehle ein, um Ihren Schlüssel zu erstellen • Wenn Sie Official Red Hat Linux Professional verwenden und die integrierte Passwortfunktion

verwenden möchten, geben Sie folgenden Befehl ein: make genkey • Ihr Schlüssel wird erstellt und Sie werden zur Eingabe und Bestätigung eines Passworts

aufgefordert. Bitte beachten Sie, dass Sie dieses Passwort jedes Mal eingeben müssen, wenn Sie Ihren sicheren Webserver starten. Vergessen Sie es daher nicht

• Wenn Sie Official Red Hat Linux Professional verwenden und nicht zur Passworteingabe aufgefordert werden möchten, wenn Sie Ihren sicheren Webserver starten, verwenden Sie zur Erstellung Ihres Schlüssels anstatt des Befehls "make gankey" folgenden Befehl (beachten Sie, dass der folgende Befehl als Gesamtheit in eine Zeile eingegeben werden muss): /usr/sbin/sslgenrsa -rand /dev/urandom -out ssl.key/server.key 1024

• Geben Sie dann folgenden Befehl ein, um die Berechtigungen für Ihren Schlüssel festzulegen: chmod go-rwx ssl.key/server.key

• Wenn Sie die oben genannten Befehle zur Erstellung Ihres Schlüssels verwenden, benötigen Sie kein Passwort zum Starten Ihres sicheren Webservers. Wir raten jedoch davon ab, die Passwortfunktion für Ihren sicheren Webserver zu deaktivieren, da dadurch die Sicherheit Ihres Servers verringert wird

• Ihr Schlüssel wird erstellt und in der Datei "server.key" gespeichert. Wenn Sie Official Red Hat Linux Professional verwenden, wird diese Datei im Verzeichnis "/etc/httpd/conf/ssl.key" gespeichert


• Legen Sie sich im Verzeichnis /etc/httpd/conf als Root-Benutzer fest und geben Sie einen der folgenden zwei Befehle ein:

• Wenn Sie Official Red Hat Linux Professional verwenden, geben Sie folgenden Befehl ein: make certreq

• Wenn Sie Official Red Hat Linux Professional, International Edition, verwenden, geben Sie folgenden Befehl (in eine Zeile) ein: /usr/bin/openssl req -new -key /etc/httpd/conf/server.key -out /etc/httpd/conf/server.csr

• Sie werden zur Eingabe Ihres Passworts aufgefordert (falls Sie bei der Erstellung Ihres Schlüssels ein Passwort verwendet haben). Geben Sie dieses Passwort ein (falls erforderlich)

• Es werden einige Anweisungen angezeigt und Sie werden zur Eingabe bestimmter Daten aufgefordert. Ihre Angaben werden in die CSR aufgenommen

• Nach Eingabe der Daten wird die Datei "server.csr" erstellt. Wenn Sie Official Red Hat Linux Professional verwenden, wird diese Datei im Verzeichnis "/etc/httpd/conf/ssl.csr" gespeichert

• Damit haben Sie ein Schlüsselpaar und eine CSR erstellt • Die Datei "server.csr" enthält Ihre Zertifikatanforderung

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter https://www.redhat.com/apps/support








SonicWALL SSL Offloaders

Allgemeine Hinweise





• Erstellen Sie ein Verzeichnis mit dem Namen "C:\test" • Starten Sie "OpenSSL" • Geben Sie "genrsa -des3 -out c:\test\key.pem 1024" ein, um einen privaten Schlüssel zu

Erstellen. SonicWALL • Geben Sie ein Passwort ein, durch das der Schlüssel geschützt wird (mindestens sechs Zeichen) • Geben Sie folgenden Befehl ein, um eine Zertifikatsanforderung zu erstellen: ‘req −new −key

c:\test\key.pem −out c:\test\req.pem −config openssl_config.txt • Füllen Sie alle erforderlichen Felder für das Zertifikat aus, das Sie Erstellen möchten

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://www.sonicwall.com/us/support.html








Stronghold Server

Allgemeine Hinweise





Stronghold-Schlüssel und -Zertifikate werden über drei Skripts verwaltet: genkey, getca und genreq. Sie sind Bestandteil der normalen Stronghold-Distribution. Schlüssel und Zertifikate werden unter directory$SSLTOP/private/ gespeichert, wobei sich SSLTOP im Allgemeinen in /usr/local/ssl befindet. Erstellen eines Schlüsselpaars und einer CSR für Ihren Server:

• Führen Sie genkey aus und geben Sie den Namen des Hosts oder virtuellen Hosts an: genkey-Hostname. Das genkey-Skript zeigt die Dateinamen und Speicherorte der Schlüsseldatei und der CSR-Datei an, die es erstellen wird: Schlüsseldatei: /usr/local/www/sslhostname.key CSR-Datei: /usr/local/www/sslhostname.cert Hinweis: Wenn Sie bereits über einen Schlüssel für Ihren Server verfügen, führen Sie genreq [Servername] aus, um nur die CSR zu erstellen

• Drücken Sie die Eingabetaste. Das genkey-Skript fordert Sie auf, sich zu vergewissern, dass Sie kein vorhandenes Schlüsselpaar und Zertifikat überschreiben

• Geben Sie eine Schlüsselgröße in Bit an, wenn Sie dazu aufgefordert werden. Wir empfehlen, die größte verfügbare Schlüsselgröße von 1024 Bit zu verwenden

• Geben Sie eine zufällige Tastenkombination ein, wenn Sie dazu aufgefordert werden. Beenden Sie die Eingabe, wenn der Zähler 0 erreicht und gekey einen Piepton erzeugt. Diese zufällige Tastenkombination erzeugt ein eindeutiges Schlüsselpaar (öffentlich/geheim)

• Drücken Sie auf Aufforderung die Taste "y", um das Schlüsselpaar und eine CSR zu erstellen • Geben Sie alle erforderlichen Daten ein und drücken Sie die Eingabetaste. Damit haben Sie einen

privaten Schlüssel und einen CSR erstellt








Tomcat Server

Allgemeine Hinweise



• Organisation (O): Namen der Antrag stellenden Organisation • Organisational Unit (OU): Abteilung oder Organisationseinheit - OPTIONAL

• State (S): Bundesland, z. B. “Brandenburg” • Locality (L): Stadt, z. B. “München” • Country (C): Verwenden Sie den zweistelligen ISO-Ländercode, z. B. für Deutschland “DE”

Schritt 1: Erstellen des privaten Schlüssels und Einrichten des Schlüsselspeichers

• Wenn Sie über eine 1.3 JVM verfügen, laden Sie unter http://java.sun.com/products/jsse/ JSSE 1.0.2 (oder höher) herunter und installieren Sie sie als Erweiterung im System oder setzen Sie eine Umgebungsvariable JSSE_HOME auf das Installationsverzeichnis

• Erstellen Sie einen Zertifikat-Keystore, indem Sie folgenden Befehl ausführen: $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA

• Legen Sie ein Passwort fest. Standardmäßig ist die Zeichenfolge "changeit" eingegeben


• Erstellen Sie ein lokales Zertifikat. Gegebenenfalls müssen Sie die Domain Ihrer Website (z. B. www.meinesite.org) in das Feld "Vor- und Nachname" eintragen, um ein funktionsfähiges Zertifikat zu erstellen keytool -genkey -alias <your_alias_name> -keyalg RSA -keystore <your_keystore_filename>

• Der CSR wird dann erstellt mit: keytool -certreq -keyalg RSA -alias <your_alias_name> -file certreq.csr -keystore <your_keystore_filename>

Sollte diese Anleitung für Sie nicht hilfreich sein, teilen Sie uns dies bitte per E-Mail mit oder besuchen die Supportseiten des Herstellers unter http://tomcat.apache.org







csr- erstellung - d-trust.net · pdf filecsr- erstellung vor dem kauf eines ssl-zertifikates...

Documents