OpenSSL Anleitung fuer CSRs

(unter Linux SLES 10 SP 1 mit openssl 0.9.8a [funktioniert so aber auch mit einem aktuellen Debian ;-)])

• möglichst auf dem betroffenen host einloggen oder einem entsprechend ausgestatteten Rechner
• Verzeichnis für Zertifikate erstellen (> mkdir cert)
• openssl.conf aus Doku herunter laden sonst müssen Fragen selbst beantwortet werden
• > openssl req -config openssl.cnf -nodes -new -newkey rsa:2048 -keyout [fqdn].key -out [fqdn].csr

Folgende Abfragen werden aus der openssl.conf beantwortet bzw. müssen auf diese Werte soweit nicht anders angegeben gesetzt werden.

• Country Name (2 letter code) [DE]:
• State or Province Name (full name) [Bayern]:
• Locality Name (eg, city) [Erlangen]:
• Organization Name (eg, company) [Universitaet Erlangen-Nuernberg]:
• Organizational Unit Name (eg, section) [Regionales Rechenzentrum Erlangen (RRZE)]:
• Common Name (eg, YOUR name) []: <- hier nochmal den fqdn angeben
• Email Address [verzeichnisdienst@rrze.fau.de]: <- gilt nur für IDM-Server, ansonsten entsprechende Gruppen- oder notfalls Individualadresse angeben.

• Mit dem Broser die Seite https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/cgi-bin/pub/ ansteuern. Gegebenenfalls den Zertifikatsantrag (Dateiendung .csr) auf den lokalen Rechner übertragen. Den Zertifikatsantrag zum Upload auswählen. Die Art des Server auswählen (bei multi-funktionalen Servern - Webserver). Name, E-Mail-Adressen (nur EINE E-Mail-Adresse möglich, also möglichst Gruppenadresse verwenden), Abteilung und PIN eingeben. Zertifizierungsrichtlinie zustimmen / Veröffentlichung ablehnen
• Antrag kontrollieren und dann Bestätigen (ggf. ändern ;-) )
• Zertfikatsantrag anzeigen, (pdf zur Sicherheit speichern) ausdrucken, unterschreiben und bei der RA abgeben.
• Bestätigung der CA inkl. signiertem Zertifikat (Dateiendung .pem) kommt per E-Mail.
• Signiertes Zertifikat auf Server übertragen und in die jeweiligen Applikationen einbinden.

Letzte Änderung: 13. Maerz 2012, Historie