• [ aipi Tools ]
  • [ Content Security Policy (CSP) ]
  • [ Sender Framework Policy (SPF) ]
  • [ Certificate Signing Request (CSR) ]
  • [ TLS Cipherlist ]
  • [ Subnetz-Masken ]
  • [ Debian Paketquellen ]
• [ Impressum ]
• [ Datenschutz ]

Farbmodus:

Certificate Signing Request (CSR) erstellen

Wer seine Internetdienste nicht per Let's Encrypt per TLS absichern möchte, kann manuell erstellte Zertifikate verwenden. Hierfür sind ein Schlüssel und eine so genannte Zertifikats-Registrierungsanforderung (englisch Certificate Signing Request, kurz CSR) zu erstellen.

Alle modernen Clients unterstützen heute bereits den Einsatz von so genannten ECC-Zertifikaten, so dass diese insbesondere beim Einsatz auf Webservern zu empfehlen sind. Bei Diensten, wo regelmäßig noch ältere Gegenstellen anzutreffen sind, empfielt sich der parallele Einsatz von ECC- und RSA-Zertifikaten. Bei Mailservern (SMTP) ist dies daher zu empfehlen. Seitens der Betriebssysteme werden ECC-Zertifikate ab Windows Vista, Apple OS X 10.6 und Android 4 unterstützt. Sofern ältere Systeme wie beispielsweise Windows XP zum Einsatz kommen, sind RSA-Zertfikate notwendig.

Als Hilfestelle für die Erstellung bieten wir auf dieser Seite ein Tool an, das nach Eingabe des Hostnamens für das Zertifikat den entsprechenden openssl-Befehl erzeugt:

ECC 384 Bit

openssl req -nodes -newkey ec:<(openssl ecparam -name secp384r1) -sha256 -keyout host.domain.tld.key -out host.domain.tld.csr -subj '/CN=host.domain.tld/C=DE'

ECC 256 Bit

openssl req -nodes -newkey ec:<(openssl ecparam -name prime256v1) -sha256 -keyout host.domain.tld.key -out host.domain.tld.csr -subj '/CN=host.domain.tld/C=DE'

RSA 4096 Bit

openssl req -nodes -newkey rsa:4096 -sha256 -keyout host.domain.tld.key -out host.domain.tld.csr -subj '/CN=host.domain.tld/C=DE

pfx-Datei erstellen

openssl pkcs12 -inkey host.domain.tld.key -in host.domain.tld.crt -export -out host.domain.tld.pfx