Nutzen Sie den Befehl Keytool, um den privaten Schlüssel zu erzeugen:
keytool -genkey -keyalg RSA -keystore sub_domain_tld.key -validity 360 -keysize 2048
Wir empfehlen die Verwendung eines Aliasnamen für das Zertifikat, hierzu fügen Sie dem oben genannten Befehl noch -alias yyy an, wobei yyy dem Aliasnamen entspricht. Die Gültigkeit wählen Sie abhängig von der gewünschten Laufzeit in Tagen.
Sie werden um Vervollständigung der folgenden Angaben gebeten:
- Enter keystore password: Hier geben Sie das Passwort für den Schlüsselspeicher (keystore) ein, Sie werden dieses später noch brauchen, daher sollten Sie sich das Passwort an dieser Stelle gut merken
- What is your first and last name? Hier geben Sie die zu sichernde Site ein, die Angabe muss einen vollständigen Domainnamen enthalten, möchten Sie also https://www.domain.de/… schützen, geben Sie www.domain.de ein, domain.de reicht hier nicht aus, dies schützt nur https://domain.de/… Dateien und Unverzeichnisse hingegen sind jeweils immer eingeschlossen
- What is the name of your organizational unit? Hier können Sie eine Abteilung eingeben, dieses Feld kann aber auch leer bleiben
- What is the name of your organization? Hier geben Sie Ihren Firmennamen / Organisationsnamen / Vor- und Zunamen ein, je nachdem, was für Sie am zutreffendsten ist
- What is the name of your City or Locality? Hier geben Ihren Ort ein
- What is the name of your State or Province? Hier geben Sie Ihr Bundesland ein
- What is the two-letter country code for this unit? Hier geben Sie Ihr Länderkürzel ein
Anschließend werden Sie gefragt, ob alle Informationen korrekt aufgenommen wurden:
Is CN=www.domain.de, OU=IT, O=MeineFirma, L=Fulda, ST=Hessen, C=DE?
Wenn Sie mit y bzw. yes für ja bestätigen, werden Sie nach einem Passwort gefragt:
Enter key password for <mykey>
Merken Sie sich auch dieses Passwort oder schreiben Sie es sich auf und verwahren Sie es an einer sicheren Stelle. <mykey> ist das Standardalias für das Zertifikat, sollten Sie oben kein anderes Alias gewählt haben (eigentlich sollten Sie wie empfohlen ein Alias gewählt haben).
Nutzen Sie erneut den Befehl keytool, um die Zertifizierungsanforderung (CSR) zu erzeugen:
keytool -certreq -keyalg RSA -file sub_domain_tld.csr -keystore sub_domain_tld.key
Sie werden zur Eingabe des Passworts für den keystore aufgefordert:
Enter keystore password:
Wenn das Passwort richtig war, wird das CSR jetzt erstellt, wenn das Passwort falsch war, wird ein Passwortfehler angezeigt.
Sie benötigen anschließend den Inhalt des CSR zur Beantragung des Zertifikats.