Zum Inhalt

Selbstsigniertes Zertifikat erstellen

Stand: 04/2025
OpenSSL-Logo
Verwendete Software
- Ubuntu 24.04 LTS
- OpenSSL 3.0.13
Weitere Dokumentationen:

Hinweis!

Verwenden Sie selbstsignierte Zertifikate nur in Testumgebungen oder für interne Systeme, auf die ausschließlich vertrauenswürdige Clients zugreifen.

Zwar bieten selbstsignierte Zertifikate technisch die gleiche Verschlüsselungsstärke wie von einer offiziellen Zertifizierungsstelle (CA) ausgestellte Zertifikate – sie nutzen dieselben Algorithmen und Schlüssel. Der entscheidende Unterschied liegt jedoch in der fehlenden Vertrauenskette: Browser und andere Clients können die Echtheit des Zertifikats nicht validieren, da keine übergeordnete, vertrauenswürdige Instanz das Zertifikat signiert hat. Das führt zu Warnmeldungen und potenziellen Sicherheitsrisiken durch Man-in-the-Middle-Angriffe, wenn Nutzer die Warnung ignorieren.

Für öffentliche Webserver oder produktive Dienste sollte daher immer ein von einer CA signiertes Zertifikat verwendet werden – beispielsweise kostenlos über Let's Encrypt.

Schritt für Schritt

Wechseln Sie in den Ordner /etc/ssl/private und erstellen Sie das selbstsiginierte Zertifikat:

cd /etc/ssl/private

sudo openssl req -x509 -nodes -days 3600 -newkey ec -pkeyopt ec_paramgen_curve:secp384r1 -sha256 -keyout selfsigned-cert.key -out selfsigned-cert.crt


Geben Sie die Informationen ein, die das Zertifikat enthalten soll. Wichtig ist hierbei der Common Name. Geben Sie als Common Name den FQDN des Servers an, auf dem das Zertifikat installiert werden soll.

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: <FQDN>
Email Address []:


Passen Sie die Berechtigungen auf den Private Key an:

sudo chmod 600 *.key