P10-Request

Bei einem P10-Request (Certificate Signing Request) handelt es sich um eine Datei, die auf Grundlage eines Schlüsselpaares erstellt wird und Informationen des Antragstellers (u.a. Common Name (CN), Organisationseinheit (OU), Organisation (O), Bundesland (ST) Land (C)) enthält. Der öffentliche Schlüssel Ihres Schlüsselpaars wird angefügt und der Request wird mit dem dazugehörigen privaten Schlüssel signiert.
Diese Datei wird zur Erstellung eines SSL-Zertifikats benötigt.

Es wird empfohlen die Schlüssel auf dem abzusichernden Server zu erstellen. Dies bietet die höchste Sicherheit, da der private Schlüssel danach nicht mehr übertragen werden muss.
Manche Serveranwendungen besitzen bereits eine integrierte Möglichkeit, solche Requests zu erstellen.

Wir bieten Ihnen hier Hilfestellungen an, die Ihnen bei der Erstellung eines solchen P10-Requestes mit folgenden Tools behilflich sein können:

OpenSSL ist ein Open Source Softwareprojekt, welches unter Windows und Linux installiert werden kann. OpenSSL wird als Kommandozeilen-Werkzeug genutzt.

Es gibt zwei Möglichkeiten, mit OpenSSL einen Serverschlüssl inkl. Request zu erstellen.

1. Interaktiv

  • Kommandozeile öffnen
  • Folgenden Befehl absetzen:
    openssl req -new -newkey rsa:2048 -keyout mykey.key -nodes -out mycsr.csr
  • Danach den Anweisungen auf dem Bildschirm folgen. Es werden u.a. Servername, e-Mail-Adresse und Passwort abgefragt.
  • Anschließend hat man zwei Dateien:
    mykey.key - Privater Schlüssel
    mycsr.csr - PKCS#10-Requestdatei
  • Die Datei mycsr.csr enthält den Request, der in Prime hochgeladen werden muss. (Prime erwartet standardmäßig eine Datei mit Endung .p10, lässt aber auch Dateien mit anderen Endungen zu.)

2. mit Hilfe einer Konfigurationsdatei

Dafür muss zunächst eine Konfigurationsdatei erstellt werden, die alle benötigten Informationen enthält.

Beispiel für MeinServer_bayern_de.txt:

[ req ]
default_bits = 2048
prompt = no
encrypt_key = no
default_md = sha1
distinguished_name = dn
req_extensions = req_ext

[ dn ]
CN = MeinServer.bayern.de
emailAddress = MeineAdresse@bayern.de
O = Freistaat Bayern
ST = Bayern
C = DE
0.OU= MeineBehörde

[ req_ext ]
subjectAltName = DNS:san1.bayern.de,DNS:san1,IP:1.2.3.4,IP:10.20.30.40

Anschließend wird der OpenSSL-Befehl wie oben in der Kommandozeile aufgerufen:

openssl req -new -config MeinServer_bayern_de.txt -keyout MeinServer_bayern_de.key -out MeinServer_bayern_de.csr

Anschließend hat man zwei Dateien:

  • MeinServer_bayern_de.key - Privater Schlüssel
  • MeinServer_bayern_de.csr - PKCS#10-Requestdatei

Die Datei MeinServer_bayern_de.csr enthält den Request, der in Prime hochgeladen werden muss. (Prime erwartet standardmäßig eine Datei mit Endung .p10, lässt aber auch Dateien mit anderen Endungen zu.)

Auch mit Java kann ein Schlüsselpaar inkl. Request erstellt werden.

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore MeinServer.jks -dname "CN=MeinServer, OU=MeineBehörde, O=Freistaat Bayern, ST=Bayern, C=DE" && keytool -certreq -alias server -file MeinServer.csr -keystore MeinServer.jks

Anschließend hat man zwei Dateien:

  • MeinServer.jks - Keystore
  • MeinServer.csr - PKCS#10-Requestdatei

Die Datei MeinServer.csr enthält den Request, der in Prime hochgeladen werden muss. (Prime erwartet standardmäßig eine Datei mit Endung .p10, lässt aber auch Dateien mit anderen Endungen zu.)

Tools, die QuoVadis zur Verfügung stellt:
https://pkiwidgets.quovadisglobal.com/scriptgen/default.aspx (Externer Link)

Hinweise:

Unsere Hilfestellung ist möglicherweise nicht vollständig.
Des Weiteren übernehmen wir keine Gewährleistung für eventuelle Fehler, die aus der Verwendung der hier aufgezeigten Befehle resultieren.