Zum Hauptinhalt springen

Zertifikatsignierungsanforderung (CSR) erstellen

Ein CSR (Certificate Signing Request) ist ein digitaler Antrag zur Ausstellung eines TLS-Zertifikats. Über Nine bestellte TLS-Zertifikate sind nicht auf Managed Services beschränkt. Sie können auch mit Root-Servern und externer Infrastruktur verwendet werden.

Nicht erforderlich für Single-Domain- und Wildcard-Zertifikate

Wenn du ein Single-Domain- oder Wildcard-Zertifikat über Nine bestellst, musst du kein CSR erstellen. Nine erledigt dies automatisch.

Ein CSR ist erforderlich für:

  • EV- und Multi-Domain-Zertifikate
  • Zertifikate von Drittanbietern

Wo das CSR erstellen

Generiere das CSR und den privaten Schlüssel auf deinem Managed Server. So stellst du sicher, dass der private Schlüssel die sichere Serverumgebung nie verlässt.

Vorbereitung

Diese Anleitung verwendet OpenSSL. Auf Managed-Umgebungen ist OpenSSL vorinstalliert. Für Root-Umgebungen installiere es bei Bedarf zuerst.

Die folgenden Schritte verwenden Standardverzeichnisse für Nine Managed-Umgebungen. Passe die Pfade für Root-Umgebungen entsprechend an.

  1. Erstelle ein Verzeichnis, das nicht öffentlich über einen Webserver erreichbar ist. Private Schlüssel müssen geschützt sein:

    mkdir -p ~/.ssl/
    cd ~/.ssl/

  2. Erstelle eine OpenSSL-Konfiguration:

    ~/.ssl/openssl.conf
    [req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req

    [req_distinguished_name]

    [ v3_req ]
    subjectAltName = ${ENV::SAN}
    # keyUsage = keyEncipherment, dataEncipherment
    # extendedKeyUsage = serverAuth

CSR erstellen

Führe den folgenden Befehl aus, um das CSR und den privaten Schlüssel für deine Domain zu erstellen. Dieser verwendet einen ECDSA-Schlüssel mit der P-256-Kurve, dem aktuellen Industriestandard für schnelle und sichere TLS-Handshakes:

SAN=DNS:example.com,DNS:www.example.com openssl req -new -subj "/C=CH/ST=Zuerich/L=Zuerich/O=Example AG/CN=example.com/" -sha256 -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 -nodes -keyout SSL_example.com.key -out SSL_example.com.csr -config openssl.conf

Vermeide Umlaute, Sonderzeichen (wie französische Akzente) und Abkürzungen in den Zertifikatsfeldern.

Ländername

2-stelliger Ländercode gemäss ISO 3166 (CH = Schweiz).

Kanton oder Provinz

Der Kanton oder die Provinz, in dem/der die Person oder das Unternehmen registriert ist.

Organisationsname

Dein Firmen- oder Vereinsname. Für Zertifikate, die auf Einzelpersonen ausgestellt werden, gib den vollständigen Namen ein.

Common Name

Der Domainname, der durch das Zertifikat geschützt werden soll, oder *.example.com für Wildcard-Zertifikate.

Wildcard-Zertifikate decken eine Subdomain-Ebene ab. Zum Beispiel deckt *.example.com www.example.com und staging.example.com ab, aber nicht www.staging.example.com. Um www.staging.example.com abzudecken, verwende *.staging.example.com.

Das TLS-Zertifikat ist nur für die hier angegebene Domain gültig.