EasyRSA – Die Signierung eines Certificate Signing Request (CSR)

EasyRSA ermöglicht die Signierung eines Certificate Signing Request (CSR) durch eine eigene Certificate Authority (CA). Diese Anleitung beschreibt, wie ein CSR mit EasyRSA signiert wird.

CSR signieren

Der Request muss in ./easyrsa/pki/reqs/ liegen.

Ein zuvor erstellter CSR kann mit folgendem Befehl signiert werden:

• ./easyrsa sign-req server <NAME>

Dabei ist <NAME> der Common Name des Zertifikats, z. B. server oder client1.

Für Client-Zertifikate:

• ./easyrsa sign-req client <NAME>

Während des Vorgangs wird die CA zur Bestätigung der Signierung aufgefordert.

Falls keine Interaktion gewünscht ist:

• EASYRSA_BATCH=1 ./easyrsa sign-req server <NAME>

Relevante Dateien nach der Signierung

pki/issued/<NAME>.crt

Das signierte Zertifikat.

pki/private/<NAME>.key

Der private Schlüssel (bereits bei der CSR-Erstellung generiert, bleibt unverändert).

pki/ca.crt

Das CA-Zertifikat, falls benötigt.

Zertifikat bereitstellen

Nach der Signierung kann das Zertifikat an den Antragsteller weitergegeben und für Server- oder Client-Authentifizierung verwendet werden.

Die Datei pki/issued/<NAME>.crt muss zusammen mit dem privaten Schlüssel pki/private/<NAME>.key und dem CA-Zertifikat pki/ca.crt genutzt werden, um eine vollständige Zertifikatskette bereitzustellen.