Dokumentation5.2. Generieren einer Certificate Signing Request (CSR)
Unabhängig davon, ob Sie ein Zertifikat von einer Zertifizierungsstelle erhalten oder Ihr eigenes selbstsigniertes Zertifikat erstellen, besteht der erste Schritt darin, einen Schlüssel zu generieren.
Wenn das Zertifikat von Service-Daemons wie Apache, Postfix, Dovecot usw. verwendet wird, ist häufig ein Schlüssel ohne Passphrase geeignet. Wenn keine Passphrase vorhanden ist, können die Dienste ohne manuelles Eingreifen gestartet werden, was normalerweise die bevorzugte Methode zum Starten eines Daemons ist.
In diesem Abschnitt wird die Erstellung eines Schlüssels mit und eines Schlüssels ohne Passphrase behandelt. Der Nicht-Passphrase-Schlüssel wird dann verwendet, um ein Zertifikat zu generieren, das mit verschiedenen Service-Daemons verwendet werden kann.
Das Ausführen Ihres sicheren Dienstes ohne Passphrase ist praktisch, da Sie die Passphrase nicht jedes Mal eingeben müssen, wenn Sie Ihren sicheren Dienst starten. Aber es ist unsicher und eine Kompromittierung des Schlüssels bedeutet auch eine Kompromittierung des Servers.
Um die zu generieren Tasten Führen Sie für die Certificate Signing Request (CSR) den folgenden Befehl an einer Terminal-Eingabeaufforderung aus:
openssl genrsa -des3 -out server.key 2048
Generieren eines privaten RSA-Schlüssels, 2048-Bit-Längenmodul
........................++++++
........++++++
e ist 65537 (0x10001)
Geben Sie die Passphrase für server.key ein:
Sie können nun Ihre Passphrase eingeben. Aus Sicherheitsgründen sollte es mindestens acht Zeichen enthalten. Die Mindestlänge bei der Angabe von -des3 beträgt vier Zeichen. Es sollte Zahlen und/oder Satzzeichen enthalten und kein Wort aus einem Wörterbuch sein. Denken Sie auch daran, dass bei Ihrer Passphrase die Groß-/Kleinschreibung beachtet wird.
Geben Sie die Passphrase zur Überprüfung erneut ein. Sobald Sie ihn erneut korrekt eingegeben haben, wird der Serverschlüssel generiert und im gespeichert server.key Datei.
Erstellen Sie nun den unsicheren Schlüssel, den ohne Passphrase, und mischen Sie die Schlüsselnamen:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv server.key.insecure server.key
Der unsichere Schlüssel wird nun benannt server.key, und Sie können diese Datei verwenden, um die CSR ohne Passphrase zu generieren. Um die CSR zu erstellen, führen Sie den folgenden Befehl an einer Terminal-Eingabeaufforderung aus:
openssl req -new -key server.key -out server.csr
Sie werden aufgefordert, die Passphrase einzugeben. Wenn Sie die richtige Passphrase eingeben, werden Sie aufgefordert, den Firmennamen, den Site-Namen, die E-Mail-ID usw. einzugeben. Sobald Sie alle diese Details eingegeben haben, wird Ihr CSR erstellt und im gespeichert server.csr Datei.
Sie können diese CSR-Datei nun zur Verarbeitung an eine Zertifizierungsstelle senden. Die Zertifizierungsstelle verwendet diese CSR-Datei und stellt das Zertifikat aus. Andererseits können Sie mit dieser CSR ein selbstsigniertes Zertifikat erstellen.