OpenSSLl SHA-256 Key und CSR

Nachdem ich das immer vergesse hier kurz die Anleitung zum Erstellen von SSL-Key mit zugehörigem CSR.

Die OpenSSL-Parameter machen folgendes:

  • nodes : der Key wird ohne Passwort erstellt. Das ist nötig, wenn man den Key z.b. mit Apache verwenden will und nicht bei jedem Serverstart die Passphrase des Schlüssels eingeben will. Für die Aufbewahrung in einem Backup o.ä. ist es dringend empfohlen die Schlüssel mit einer Passphrase zu versehen.
  • sha256 : Der CSR wird mit SHA-256 signiert. Dies ist spätestens ab 2015 für alle neu ausgestellten Zertifikate erforderlich, da SHA-1 als schwach bzw. unsicher angesehen wird.
  • newkey : generiert einen neuen RSA-Key mit 2048 Bit. 4096 Bit Schlüssellänge wäre zwar besser, produziert aber CPU-Last, die sich vorallem bei gut frequentierten Webservern negativ auf die Seitengeschwindigkeit auswirkt. 4k Schlüssel macht man also (noch) nicht.
  • keyout : das File in dem der Key gespeichert wird
  • out : der Filename für den CSR

Als nächstes will OpenSSL ein paar Daten für den CSR wissen. Das wichtigste hier ist der Common Name. Hier wird angegeben, für welchen Domainnamen das Zertifikat gültig sein soll.

Voila – der CSR kann zu einem Zert-Dienstleister geschickt werden, und man erhält ein signiertes Zertifikat zurück.