# in das Home-Verzeichnis wechseln
cd /home
# Erstellung des Private Key mit 4096 bit
sudo openssl genrsa -out localhost.key 4096
# Erstellung der CSR-Datei
sudo openssl req -new -key localhost.key -out localhost.csr

In den nun erscheinenden Fragen füllt man alles soweit aus; bei "A challenge password" darf nichts eingegeben werden. Bei "Common Name" zB den Namen des Servers eintragen. Dies kann bei einer lokalen Installation localhost sein, falls eine Domain auf den Server zeigt dann den Domnainnamen (ohne www.) eintragen.

Aus der CSR Datei können wir im dritten Schritt mit dem folgenden Befehl das endgültige Zertifikat erstellen. Die Zahl hinter “-days” gibt die Gültigkeitsdauer des Zertifikats in Tagen an; in diesem Fall ist das Zertifikat 10 Jahre lang gültig.

sudo openssl x509 -req -days 3650 -in localhost.csr -signkey localhost.key -out localhost.crt

Der Private Key (localhost.key) sollte nun vom Server entfernt und an einem sicheren Ort aufbewahrt werden. Außerdem noch die Rechte setzen:

sudo chmod 444 localhost.crt localhost.csr