OpenSSL Command Generator
Erstelle sichere, saubere OpenSSL-Befehle – zum Kopieren & Einfügen.
Shell
Aktion
Hinweis: Die Generator‑Befehle orientieren sich an OpenSSL ≥ 1.1.1 bzw. 3.x Best‑Practices. Prüfe ggf. Pfade & Optionen für dein System.
Ergebnis
Tipps
RSA: 2048/3072/4096
EC: prime256v1 (P‑256)
SANs über
-addext
Hash: sha256
Privatschlüssel schützen!Befehle im OpenSSL Generator – Erklärung
| Befehl | Erklärung |
|---|---|
| RSA Private Key erzeugen | Erstellt einen privaten RSA-Schlüssel. Meist für TLS/SSL-Zertifikate genutzt. Größere Bitlänge = mehr Sicherheit, aber langsamer. Empfohlen: 2048-4096 Bit. |
| EC/Prime256v1 Private Key erzeugen | Erstellt einen elliptischen Kurven-Schlüssel (ECC). Bietet gleiche Sicherheit wie RSA, aber mit kürzeren Schlüsseln und schnellerer Performance. |
| Ed25519 Private Key erzeugen | Erstellt einen modernen, schnellen und sehr sicheren Schlüssel für Signaturen. Besonders bei SSH und modernen TLS-Systemen beliebt. |
| CSR erstellen | Generiert eine Certificate Signing Request (Anfrage für ein Zertifikat), die an eine Zertifizierungsstelle gesendet wird. Enthält öffentliche Infos (Domain, Organisation etc.), aber keinen privaten Schlüssel. |
| Self-Signed Zertifikat | Erstellt ein Zertifikat, das selbst signiert ist (kein CA-Siegel). Nur für interne Systeme oder Tests nutzen, da Browser es nicht vertrauen. |
| Zertifikat anzeigen | Zeigt alle Details eines Zertifikats (z. B. Gültigkeit, SANs, Aussteller). |
| CSR anzeigen | Zeigt den Inhalt einer CSR-Datei. |
| Public Key aus Private Key | Extrahiert den öffentlichen Schlüssel aus einem privaten Schlüssel. |
| PKCS#12 (PFX) exportieren | Bündelt Zertifikat + Private Key + optional CA-Kette in einer PFX-Datei. Wird oft für Windows-Server oder bestimmte Anwendungen benötigt. |
| Zertifikatskette prüfen | Überprüft, ob ein Zertifikat mit einer angegebenen CA/Chain-Datei vertrauenswürdig ist. |
| Zertifikat: PEM ↔ DER | Konvertiert zwischen den Formaten PEM (Text) und DER (Binär). |
| DH-Parameter erzeugen | Erstellt Diffie-Hellman-Parameter für sichere Schlüsselaustausche. Meist nur in speziellen Server-Setups nötig. |
Eingabefelder – Erklärung
| Feld | Erklärung |
|---|---|
| Ausgabedatei | Dateiname, in den der erzeugte Schlüssel/Zertifikat gespeichert wird. |
| Schlüssellänge (bits) | Größe des Schlüssels in Bit (RSA: 2048/3072/4096 empfohlen; DH-Parameter ebenso). |
| Schlüssel mit Passwort verschlüsseln | Verschlüsselt den privaten Schlüssel mit einem Passwort, sodass er nicht im Klartext vorliegt. |
| Kurve | Wählt die ECC-Kurve. prime256v1 (P-256) ist weit verbreitet und kompatibel. |
| Privater Schlüssel (Pfad) | Pfad zur bestehenden privaten Schlüsseldatei, die genutzt wird. |
| CSR Datei | Ausgabedatei für die Certificate Signing Request. |
| Common Name (CN) | Haupt-Domainname, für den das Zertifikat gilt (z. B. example.com). |
| Organisation (O) | Name deiner Firma oder Organisation. |
| Organisatorische Einheit (OU) | Abteilung oder Bereich (z. B. „IT“). |
| Ort (L) | Stadt, in der sich die Organisation befindet. |
| Bundesland (ST) | Bundesland (z. B. „BE“ für Berlin). |
| Land (C) | Ländercode (2-stellig, z. B. „DE“). |
| Subject Alternative Names (SAN) | Zusätzliche Domains/IPs, für die das Zertifikat gültig ist (z. B. DNS:www.example.com,IP:1.1.1.1). |
| Hash-Algorithmus | Algorithmus zum Signieren (z. B. sha256). |
| Gültigkeit in Tagen | Anzahl der Tage, für die ein Zertifikat gültig sein soll. |
| Intermediate/CA (optional) | CA-Zwischenzertifikat(e), um eine Zertifikatskette zu vervollständigen. |
| Friendly Name | Anzeigename für ein PKCS#12/PFX-Paket (z. B. „Mailserver-Zertifikat“). |
| Passwort setzen (interaktive Eingabe) | Erzwingt, dass beim Erstellen des PFX ein Passwort abgefragt wird. |
| CA/Chain Datei | Datei mit dem Root- oder Zwischenzertifikat, das zur Überprüfung verwendet wird. |
| Eingabe / Ausgabe | Dateien, die konvertiert werden sollen (bei PEM↔DER). |