20.7. Erstellen eines Zertifikatsantrags für eine ZS

Sobald Sie einen Schlüssel erstellt haben, ist der nächste Schritt für Sie die Erstellung eines Zertifikatsantrags, den Sie an die ZS Ihrer Wahl schicken. Stellen Sie sicher, dass Sie sich im /usr/share/ssl/certs-Verzeichnis befinden, und geben Sie folgenden Befehl ein:

make certreq

Ihr System zeigt folgende Ausgabe an und fordert Sie auf, Ihr Passwort einzugeben (es sei denn, Sie haben die Passwort-Option deaktiviert):

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
	

Geben Sie das Passwort ein, mit dem Sie den Schlüssel erstellt haben. Ihr System wird einige Anweisungen anzeigen und Sie dann auffordern, eine Reihe von Fragen zu beantworten. Ihre Eingaben werden in den Zertifikatsantrag integriert. Die anschließende Anzeige mit Beispielantworten sieht folgendermaßen aus:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:DE
State or Province Name (full name) [Berkshire]:Schleswig-Holstein
Locality Name (eg, city) [Newbury]:Flensburg
Organization Name (eg, company) [My Company Ltd]:Firma Test GmbH
Organizational Unit Name (eg, section) []:Test
Common Name (your name or server's hostname) []:test.beispiel.com
Email Address []:admin@beispiel.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Die Standardantworten werden unmittelbar nach den jeweiligen Eingabeaufforderungen in Klammern angezeigt []. Die erste Angabe, zu der Sie aufgefordert werden, ist das Land, in dem das Zertifikat benutzt werden soll. Dies sieht dann wie folgt aus:

Country Name (2 letter code) [GB]:

Die vordefinierte Eingabe in eckigen Klammern ist GB. Wenn Sie den Standardwert akzeptieren möchten, drücken Sie einfach die [Enter-Taste] oder geben den zweistelligen Code Ihres Landes an.

Geben Sie dann die restlichen Angaben ein. Alle Angaben sollten unmissverständlich sein. Sie sollten dabei jedoch folgende Richtlinien beachten:

Nach der Eingabe Ihrer Daten wird eine Datei mit dem Namen /etc/httpd/conf/ssl.csr/server.csr erstellt. Diese Datei ist Ihre Zertifikatsanfrage, die Sie nun an die ZS schicken können.

Nachdem Sie sich für eine ZS entschieden haben, folgen Sie deren Anweisungen auf der Website. Diesen Anweisungen entnehmen Sie, wie Sie Ihren Zertifikatsantrag verschicken sollen, welche Dokumente außerdem noch für die ZS erforderlich sind. Desweiteren werden Sie hier über die Zahlungsmodalitäten informiert.

Sobald Sie die Anforderungen der ZS erfüllt haben, wird Ihnen diese das Zertifikat (in der Regel per E-Mail) zusenden. Speichern Sie (auch durch Ausschneiden/Einfügen möglich) das Ihnen von der ZS zugesandte Zertifikat unter dem Namen /etc/httpd/conf/ssl.crt/server.crt. Stellen Sie sicher, dass Sie ein Backup dieser Datei erstellen.