openssl installieren, neueste version, bei Linux ist das schon vorinstalliert

1. eine request config-datei anlegen:

host-req.conf

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = Thueringen
L = Ilmenau
O = Technische Universitaet Ilmenau
##OU = Abteilung XY
#emailAddress = hansi@tu-ilmenau.de
CN = name.der.maschine.tu-ilmenau.de
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = name.der.maschine.tu-ilmenau.de
DNS.2 = zweitername.der.maschine.tu-ilmenau.de

hier müssen die entsprechenden Parameter für die HSM rein, in der Policy nachlesen. Bei uns wird die Emailadresse nicht benötigt. Deswegen ist sie auskommentiert.

DNS.1 und DNS.2 sind die alternativen DNS für das Zertifikat. Vorher also nachgucken, welche Hostnamen das Zertifikat unterstützen soll, zB qis.fh-schmalkaklden.de, qis.hs-schmalkalden.de, … Kann beliebig ergänzt werden, also DNS.3,4,5 …

im CN muß(sollte) der DNS.1 drinstehen, i.d.R der Hauptname des Hosts

2. dann mit openssl:

 
## openssl genrsa -out ihre-firma.de.key 2048
## openssl req -new -out ihre-firma.de.csr -key ihre-firma.de.key -config req.conf

also

openssl genrsa -out host.key 2048
openssl req -new -out host.csr -key host.key -config host.conf

der host.key ist dann später der key für den apache. entsprechend umbenennen.

host.csr ist der Request und muß als Text in die webseite vom DFN kopiert werden oder hochgeladen werden

als Ergebnis wird eine pem-Datei als Zertifikat zugeschickt. Diese pem-Datei dann entsprechend umbenennen in host.crt o.dgl. und dem Apache(oder nginx) zusammen mit dem key bereitstellen.