Bevor Sie Einstellungen auf dem Spectrum-Server konfigurieren, müssen Sie zunächst Schlüssel generieren und eine Zertifikatsignieranforderung (CSR) abrufen.
In diesem Abschnitt wird das OpenSSL-Befehlszeilenprogramm zum Generieren privater/öffentlicher Schlüssel und CSR verwendet. OpenSSL ist mit den meisten Linux-Systemen erhältlich. Für Windows können Sie ein Installationspaket für das OpenSSL-Toolkit von
Shining Light Productions herunterladen. Weitere Informationen zu den hier beschriebenen OpenSSL-Befehlen finden Sie in der
OpenSSL-Befehlsreferenz.
Ersetzen Sie im Beispielcode Verweise auf example durch Ihren Organisations- oder Domänennamen.
-
Öffnen Sie eine OpenSSL-Eingabeaufforderung.
-
Erzeugen Sie ein öffentliches/privates Schlüsselpaar mit einem SSL-Toolkit.
-
Führen Sie den folgenden Befehl aus, um ein öffentliches/privates RSA-Schlüsselpaar zu generieren.
openssl genrsa -out www.example.com.key 2048
Im Rahmen dieses Beispiels wird ein RSA-2.048-Bit-Schlüsselpaar generiert. Der Verschlüsselungsstandard und die Anforderungen an die Mindestlänge können je nach der auf Ihrem Computer installierten Java-Version und den Anforderungen der Zertifizierungsstelle unterschiedlich sein.
Hierdurch wird die folgende Ausgabe angezeigt:
openssl genrsa -out www.example.com.key 2048 Generating RSA private key, 2048 bit long modulus (2 primes) ................................+++++ ...+++++ e is 65537 (0x010001)
-
Generieren Sie eine Zertifikatsignieranforderung.
openssl req -new -sha256 -key www.example.com.key -out www.example.com.csr
Dieser Befehl bettet Ihren öffentlichen Schlüssel und Informationen über Ihre Organisation in eine Zertifikatsignieranforderung (CSR) ein. Sie werden zur Eingabe der folgenden Informationen aufgefordert:
- Ländername (ISO-3166-Ländercode aus zwei Buchstaben)
- Name des Bundeslandes oder Kantons.
- Ortsname (z. B. Stadt)
- Name der Organisation (z. B. Firma)
- Name der Organisationseinheit (Einheit oder Abteilung in einer Organisation)
- Allgemeiner Name (normalerweise der vollqualifizierte Domänenname für den Server)
- E-Mail-Adresse (Kontaktadresse in Ihrer Organisation)
- Ein Kennwort (achten Sie darauf, dieses Kennwort zu notieren)
-
Führen Sie den folgenden Befehl aus, um die Gültigkeit der CSR sicherzustellen:
openssl req -text -in www.example.com.csr -noout
Die Antwort sollte in etwa so aussehen:
Certificate Request: Data: Version: 1 (0x0) Subject: C = US, ST = Maryland, L = Rockville, O = Example Ltd, OU = Help Central Example, CN = www.example.com, emailAddress = webmaster@example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:9f:b4:35:53:31:be:3b:79:42:23:0b:69:5b:10: ce:80:d0:a3:dd:4d:dc:b3:aa:c1:b8:38:b9:cb:d9: ... Exponent: 65537 (0x10001) Attributes: challengePassword :examplepassword Signature Algorithm: sha256WithRSAEncryption 02:a9:f0:2f:1b:7f:09:04:ff:6f:e4:5e:51:12:22:56:4c:5c: 81:d4:e0:06:c2:0b:42:6d:18:de:29:df:97:d0:e2:24:53:35: ...
-
Senden Sie die resultierende CSR (
www.example.com.csr
) an eine Zertifizierungsstelle.
Senden Sie den CSR an Ihre Zertifizierungsstelle, und befolgen Sie deren Anweisungen, um Ihr endgültiges Zertifikat zu erhalten. Verschiedene Zertifizierungsstellen berechnen unterschiedliche Gebühren für den Service, Ihren öffentlichen Schlüssel zu bestätigen.