Wie generiert man ein selbstsigniertes Zertifikat mit OpenSSL?

Zuletzt aktualisiert am von Dionisie Gitlan
How to Create a Self-Signed Certificate Using OpenSSL

Selbstsignierte Zertifikate genießen zwar nicht das Vertrauen von Browsern und sind für Live-Sites ungeeignet, aber sie sind in Test- oder Intranet-Umgebungen von großem Nutzen. Sie können ein selbstsigniertes Zertifikat mit OpenSSL erstellen. Es ist ein schneller und kostenloser Prozess. Alles, was Sie tun müssen, ist, ein paar Befehle auszuführen.

In dieser Anleitung erfahren Sie, wie Sie ein selbstsigniertes Zertifikat mit OpenSSL unter den Betriebssystemen Windows, Linux und Mac erstellen. Die Vorgehensweise ist dieselbe, unabhängig von dem Betriebssystem, das Sie verwenden. Also, lassen Sie uns anfangen!

Wie Sie ein selbstsigniertes Zertifikat erstellen

Bevor wir die technischen Aspekte erörtern, sollten wir das Konzept der selbstsignierten Zertifikate verstehen. Ein selbstsigniertes Zertifikat ist ein digitales Zertifikat, das von seinem Ersteller und nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde. Selbstsignierte Zertifikate werden zwar nicht von externen Stellen unterstützt, sind aber für den internen Gebrauch nützlich, z. B. für Tests, Entwicklung oder persönliche Server.

Stellen Sie als Voraussetzung sicher, dass OpenSSL auf Ihrem System installiert ist. Bei den meisten Linux-Distributionen ist OpenSSL bereits vorinstalliert. Windows-Benutzer können OpenSSL herunterladen und installieren, indem sie unseren Installationsanweisungen folgen. Um OpenSSL auf einem Mac zu installieren, können Sie den Homebrew-Paketmanager verwenden, indem Sie “brew install openssl” ausführen.

Schritt 1: Öffnen Sie Terminal oder Eingabeaufforderung

Öffnen Sie zunächst Ihr Terminal oder die Eingabeaufforderung. Unter Linux und Mac finden Sie es im Ordner Anwendungen oder Dienstprogramme. Unter Windows suchen Sie im Startmenü nach “Eingabeaufforderung”.

Schritt 2: Navigieren Sie zum OpenSSL-Verzeichnis (optional)

Wenn sich OpenSSL nicht im PATH Ihres Systems befindet, navigieren Sie mit dem Befehl cd zu dem Verzeichnis, in dem OpenSSL installiert ist. Zum Beispiel:

cd /pfad/zu/openssl

Schritt 3: Generieren Sie den privaten Schlüssel

Der erste Schritt ist die Erzeugung eines privaten Schlüssels mit OpenSSL. Führen Sie den folgenden Befehl aus. Ersetzen Sie private.key durch den von Ihnen gewünschten Dateinamen.

openssl genpkey -algorithmus RSA -out private.key

Schritt 4. Erzeugen Sie die Zertifikatsignaturanforderung (CSR)

Als nächstes generieren Sie eine CSR mit dem privaten Schlüssel. Der CSR ist ein Textblock mit Kontaktinformationen zu Ihrer Domain und Ihrem Unternehmen.

openssl req -new -key private.key -out csr.pem

Folgen Sie den Aufforderungen, um die erforderlichen Informationen wie Land, Staat, Organisation usw. anzugeben. Geben Sie Ihren eigenen Namen, Ihre Website und Informationen ein. Die folgenden Angaben dienen nur als Beispiel.

  1. Name des Landes: Geben Sie den aus zwei Buchstaben bestehenden Code Ihres Landes ein. Zum Beispiel, US
  2. Name des Staates oder der Provinz: Geben Sie den Namen des Staates ein, in dem Ihre Organisation offiziell registriert ist. Zum Beispiel: Kalifornien
  3. Name des Ortes: Geben Sie den Namen des Ortes oder der Stadt ein, in der Ihr Unternehmen ansässig ist: Zum Beispiel, San Jose
  4. Name der Organisation: Geben Sie den offiziellen Namen Ihrer Organisation an: Zum Beispiel, SSL Dragon
  5. Name der Organisationseinheit: Geben Sie den Namen der Einheit innerhalb Ihrer Organisation ein, die für die Verwaltung von SSL-Zertifikaten zuständig ist. Zum Beispiel, IT
  6. Allgemeiner Name: Geben Sie den Fully Qualified Domain Name (FQDN) ein, den Sie sichern möchten, oder Ihren Namen. Zum Beispiel: ssldragon.com
  7. E-Mail Adresse: [email protected]
  8. Ein Challenge-Passwort: IhrPasswort
  9. Ein optionaler Firmenname: Sie können ihn leer lassen.

Schritt 5. Selbstsigniertes Zertifikat generieren

Erstellen Sie schließlich das selbstsignierte Zertifikat unter Verwendung der CSR und des privaten Schlüssels:

openssl req -x509 -days 365 -key private.key -in csr.pem -out certificate.crt

Dieser Befehl erstellt ein selbstsigniertes Zertifikat, das 365 Tage lang gültig ist. Sie können die Gültigkeitsdauer nach Bedarf anpassen.

Nachdem Sie den Befehl zur Erzeugung des selbstsignierten Zertifikats mit OpenSSL ausgeführt haben, wird die Zertifikatsdatei in dem Verzeichnis erstellt, in dem Sie den Befehl ausgeführt haben.

In diesem Befehl gibt das Ausgabeflag -out certificate.crt den Namen der Zertifikatsdatei an, nämlich certificate.crt. Um das generierte Zertifikat zu finden, können Sie also in demselben Verzeichnis suchen, in dem Sie gearbeitet haben, als Sie den OpenSSL-Befehl ausgeführt haben. Wenn Sie alternativ einen anderen Pfad für die Ausgabedatei angeben, finden Sie das Zertifikat an diesem Ort.

Überlegungen zur Erstellung von Post-Zertifikaten

Sobald Sie Ihr selbstsigniertes Zertifikat erstellt haben, müssen Sie einige Dinge beachten:

  • Installation des Zertifikats: Nachdem Sie das Zertifikat erstellt haben, müssen Sie es auf Ihrem Server oder Dienst installieren. Der Installationsvorgang hängt von Ihrer Anwendung oder Serversoftware ab. Bei Apache zum Beispiel aktualisieren Sie normalerweise die SSL-Konfigurationsdatei, um auf die Zertifikatsdateien zu verweisen.
  • Erneuerung des Zertifikats: Selbstsignierte Zertifikate haben ein Ablaufdatum, das in der Regel während des Erstellungsprozesses festgelegt wird. Es ist wichtig, das Ablaufdatum von Zertifikaten im Auge zu behalten und sie zu erneuern, bevor sie ablaufen, um Serviceunterbrechungen zu vermeiden.
  • Vertrauen in Zertifikate: Im Gegensatz zu Zertifikaten, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden, wird selbstsignierten Zertifikaten nicht automatisch von Webbrowsern oder E-Mail-Clients vertraut. Benutzer, die auf Dienste zugreifen, die mit selbstsignierten Zertifikaten gesichert sind, erhalten möglicherweise Warnmeldungen, die sie auffordern, die Sicherheitsausnahme zu bestätigen. Deshalb sind selbstsignierte Versionen für die Entwicklung und nicht für die Produktion geeignet.

Unterm Strich

In dieser Anleitung haben wir Ihnen erklärt, wie Sie mit OpenSSL ein selbstsigniertes Zertifikat erstellen können. Die Schritte und Befehlszeilen sind identisch, egal ob Sie ein selbstsigniertes Zertifikat unter Linux oder Windows erstellen.
Wir haben auch Überlegungen zur Generierung von Zertifikaten nach ihrer Ausstellung besprochen, um eine reibungslose Implementierung und einen reibungslosen Betrieb zu gewährleisten. Während selbstsignierte Zertifikate für interne Zwecke nützlich sind, sollten Sie für Produktionsumgebungen, in denen die Validierung durch Dritte erforderlich ist, vertrauenswürdige SSL-Zertifikate erwerben.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Tutorials