Wie erstellt man ein SSL/TLS-Zertifikat?

Wichtig

In diesem Abschnitt wird beschrieben, wie Sie ein selbstsigniertes TLS-Zertifikat mit OpenSSL erstellen. Um eine sichere Verbindung in einer Produktionsumgebung herzustellen, empfehlen wir Ihnen, ein von einer Zertifizierungsstelle (CA) ausgestelltes Zertifikat zu verwenden.

Dieser Prozess besteht aus fünf Schritten: Generierung eines privaten Schlüssels, Erstellung einer Zertifikatsanforderung (Certificate Signing Request, CSR), Generierung des Zertifikats selbst, Hinzufügen des privaten Schlüssels zur Zertifikatsdatei und Einbindung in Ihren Webbrowser.

1. Generierung des privaten Schlüssels

Um einen privaten Schlüssel zu generieren, müssen Sie eine Eingabeaufforderung/ein Terminal öffnen und den folgenden Befehl eingeben:

openssl genrsa -out <filename>.key 2048

wobei <filename> der Name ist, den Sie dem privaten Schlüssel geben wollen. Die Ausgabe wird in dem Verzeichnis erzeugt, in dem Sie diesen Befehl ausführen.

Sie werden aufgefordert, ein sicheres Passwort für den Schlüssel einzugeben. Geben Sie ein sicheres Passwort ein und merken Sie es sich für später.

2. Erstellung einer CSR

Führen Sie diesen Befehl aus, indem Sie <filename> durch den Namen Ihrer Schlüsseldatei ersetzen und geben Sie die Details ein, wenn Sie dazu aufgefordert werden:

openssl req -new -key <filename>.key -out <filename>.csr

3. Generierung des Zertifikats

Anschliessend können Sie diesen letzten Befehl ausführen, um Ihr selbstsigniertes Zertifikat zu erstellen:

openssl x509 -req -days <days> -in <filename>.csr -signkey <filename>.key -out <filename>.pem

Der Parameter -days <days> ist optional und gibt Ihnen die Möglichkeit, eine Gültigkeitsdauer für Ihr Zertifikat festzulegen. Wenn Sie nicht möchten, dass Ihr Zertifikat abläuft, können Sie den Parameter entfernen.

4. Hinzufügen des privaten Schlüssels in die Zertifikatsdatei

Da EYE+ eine einzige Datei erwartet, die alle erforderlichen Informationen enthält, müssen Sie den Inhalt der Datei <filename>.key, die Sie in Schritt 1 erstellt haben, in die Datei <filename>.pem kopieren, damit sie wie folgt aussieht:

-----BEGIN CERTIFICATE-----
<Your certificate contents>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<Your private key>
-----END PRIVATE KEY-----

Bemerkung

Da die Datei <filename>.pem nun den privaten Schlüssel enthält, sollte sie niemals an Dritte weitergegeben und ausschliesslich mit EYE+ verwendet werden.

5. Einbindung der Datei in Ihren Webbrowser

Moderne Webbrowser führen standardmässig eine Liste vertrauenswürdiger Zertifizierungsstellen und weisen Zertifikate zurück, die nicht von einer dieser Stellen unterzeichnet wurden. Das bedeutet, dass das selbstsignierte Zertifikat, das Sie gerade erstellt haben, eine Sicherheitswarnung auslösen wird. Sie müssen eine Sicherheitsausnahme erstellen, indem Sie unter Erweitert die Option Risiko akzeptieren und fortfahren (Firefox) oder Zur Adresse fortfahren (unsicher) (Chrome) wählen.

../../../_images/certificate_security_exception_firefox.png — Abb. 319 Sicherheitsausnahme in Firefox

../../../_images/certificate_security_exception_chrome.png — Abb. 320 Sicherheitsausnahme in Chrome