Direkt zum Inhalt

Wie bei Ihrer Software ein PKCS#10-Antrag (auch Request genannt) erzeugt werden kann, entnehmen Sie bitte der entsprechenden Dokumentation Ihrer Software. Für die DFN-PKI können Sie diese Datei z.B. mit der Software 'openssl' mit folgenden Kommandos erzeugen:

Für UNIX-Nutzer:

  • Serverzertifikat (z.B. für den Server "testserver.hrz.tu-freiberg.de"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=testserver.hrz.tu-freiberg.de/emailAddress=<gültige E-Mail-Adresse des Server-Administrators>"

  • Nutzerzertifikat (z.B. für den Nutzer "Max Mustermann"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=Max Mustermann/emailAddress=<gültige E-Mail-Adresse des Nutzers>"

  • Gruppenzertifikat (z.B. für die Gruppe "Raumplanung"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=GRP: Raumplanung/emailAddress=<gültige E-Mail-Adresse dieser Gruppe>"

    Eine Gruppe kann auch eine Liste von Nutzern enthalten, z.B. GRP: Max Mustermann, Erika Mustermann.

  • Pseudonymzertifikat (z.B. für das Pseudosym "Mein Pseudonym"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakad emie Freiberg/CN=PN:Mein Pseudonym/emailAddress=<gültige E-Mail-Adresse des Nutzers>"

Für Windows-Nutzer:

Zunächst müssen Sie in den Ordner mit der openssl-Software wechseln, z.B.:

cd C:\OpenSSL-Win32\bin

  • Serverzertifikat (z.B. für den Server "testserver.hrz.tu-freiberg.de"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=testserver.hrz.tu-freiberg.de/emailAddress=<gültige E-Mail-Adresse des Server-Administrators>" -config openssl.cfg

  • Nutzerzertifikat (z.B. für den Nutzer "Max Mustermann"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=Max Mustermann/emailAddress=<gültige E-Mail-Adresse des Nutzers>" -config openssl.cfg

  • Gruppenzertifikat (z.B. für die Gruppe "Raumplanung"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=GRP: Raumplanung/emailAddress=<gültige E-Mail-Adresse dieser Gruppe>" -config openssl.cfg

    Eine Gruppe kann auch eine Liste von Nutzern enthalten, z.B. GRP: Max Mustermann, Erika Mustermann.

  • Pseudonymzertifikat (z.B. für das Pseudosym "Mein Pseudonym"):

    openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakad emie Freiberg/CN=PN:Mein Pseudonym/emailAddress=<gültige E-Mail-Adresse des Nutzers>" -config openssl.cfg

Hinweise dazu:

  • Die Option -nodes bewirkt, dass der private Schlüssel nicht selbst verschlüsselt wird. Das ist oft hilfreich, besonders bei Server-Zertifikaten.
  • Die Schlüssellänge (hier 2048; das ist das Minimum) kann auch auf 3072, 4096 oder 8192 eingestellt werden.
  • In der Datei "key_private.pem" befindet sich der erzeugte privater Schlüssel und in der Datei "request.pem" befindet sich Ihr Request. Der private Schlüssel ist vor Diebstahl und Verlust zu schützen!
  • Mit dem Befehl openssl req -text -in request.pem können Sie sich den Request anzeigen lassen.