HTTPS-Zertifikat anfordern oder erstellen

Üblicherweise stellt eine Zertifizierungsstelle (Certificate Authority, CA) Installationsanweisungen zur Verfügung, wie ein von ihr ausgestelltes Zertifikat zu installieren ist. Die Zertifizierungsstelle stellt sogar Anweisungen zur Verfügung, wie das Zertifikat zu beantragen ist. Bitte befolgen Sie in erster Linie die Anweisungen der Zertifizierungsstelle.

Zunächst müssen Sie eine Zertifikatsanforderung (Certificate Signing Request, CSR) erstellen und die Zertifikatsanforderung gemäß den Anweisungen der Zertifizierungsstelle an diese weiterleiten. Die Zertifizierungsstelle wird Ihnen dann das Serverzertifikat und die Zwischenzertifikate zur Verfügung stellen, um eine Zertifikatsanforderung zu erstellen

Wenn Sie kein Zertifikat von einer offiziellen Zertifizierungsstelle (CA) haben, können Sie zu Testzwecken ein selbstsigniertes Zertifikat erstellen.

Gehen Sie wie folgt vor:

1. Generieren Sie zu Testzwecken ein selbstsigniertes Zertifikat mit dem folgenden Befehl:

doas openssl req -x509 -newkey rsa:4096 -nodes -sha256 -days 3650 \
                -keyout IPCDiagnostics.key \
                -out IPCDiagnostics.crt \
                -subj '/CN=<hostname>' \
                -addext 'subjectAltName=DNS:<hostname>,IP:<ipaddress>'

2. Der Befehl erstellt einen privaten Schlüssel IPCDiagnostics.key und ein selbstsigniertes Zertifikat IPCDiagnostics.crt.

openssl req: Der Befehlsteil req erstellt und bearbeitet Zertifikatsanfragen (CSR – Certificate Signing Request). Mit -x509 wird stattdessen direkt ein selbstsigniertes Zertifikat erstellt.

-newkey rsa:4096: Erstellt ein neues Schlüsselpaar mit dem RSA-Algorithmus und einer Schlüssellänge von 4096 Bit.

-nodes: Bedeutet "no DES". Der private Schlüssel wird nicht verschlüsselt gespeichert, d. h., es wird kein Passwort benötigt, um den Schlüssel zu verwenden.

-sha256: Verwendet den sicheren Hash-Algorithmus SHA-256, um die Zertifikatsignatur zu erstellen.

-keyout IPCDiagnostics.key: Speichert den privaten Schlüssel in der Datei IPCDiagnostics.key.

-out IPCDiagnostics.crt: Speichert das erstellte Zertifikat in der Datei IPCDiagnostics.crt.

-subj '/CN=<hostname>': Gibt die Daten für das Zertifikat an, ohne eine interaktive Abfrage. /CN=<hostname> legt den Common-Name (CN) fest, der normalerweise der Hostname oder die Domain ist, die durch das Zertifikat geschützt wird.

-addext 'subjectAltName=DNS:<hostname>,IP:<ipaddress>': Fügt eine Erweiterung (Extension) zum Zertifikat hinzu. subjectAltName (SAN) erlaubt zusätzliche Namen und IP-Adressen, die das Zertifikat abdecken soll.

3. Ersetzen Sie <hostname> durch den Hostnamen und <ipaddress> durch die IP-Adresse Ihres TwinCAT/BSD-Geräts.

Im nächsten Schritt kann das Zertifikat importiert werden (siehe: Zertifikat importieren).