1. OpenSSL installieren, falls noch nicht vorhanden
2. Erzeugen des privaten und öffentlichen Schlüssels.
   Der Algorithmus ist entsprechend den Fähigkeiten der Server-Software zu wählen. In den meisten Fällen kann heutzutage aber ECC genutzt werden.
   - RSA-4096 mit Passwort:
         > openssl genrsa -aes256 -out <dateiname_key.pem>  4096
   - RSA-4096 ohne Passwort:
         > openssl genrsa -out <dateiname_key.pem>  4096
   - ECC-384 mit Passwort
         > openssl ecparam -genkey -name secp384r1 | openssl ec -aes256 -out <dateiname_key.pem>
   - ECC-384 ohne Passwort:
         > openssl ecparam -name secp384r1 -genkey -out <dateiname_key.pem>
    
3. Erzeugen Sie einen Zertifikat-Request:
         > ​openssl req -sha256 -new -key <dateiname_key.pem> -out <Dateiname.csr> \
             -subj "/C=DE/ST=Brandenburg/L=Cottbus/O=Brandenburgische Technische Universitaet Cottbus-Senftenberg/CN=servername.b-tu.de"

Bei HARICA muss keine Subjekt angegeben werden, FQDN werden später in der HARICA Weboberfläche angegeben. Bei DFN Community Zertifikaten muss das Subject vollständig angegeben werden. Der "servername.b-tu.de" muss entsprechend angepasst werden.

Nachträglich Passwort entfernen

Mit folgender Befehlszeile können Sie aus einer mit Passwort geschützten Schlüsseldatei (key.pem) eine Schlüsseldatei ohne Passwortschutz (key-no-pw.pem) erzeugen:

    > openssl rsa –in <dateiname_key.pem> –out <dateiname-no-pw.pem>
bzw.
    > openssel ec -in <dateiname_key.pem> –out <dateiname-no-pw.pem>
    oder in älteren Versionen
    > openssl secp384r1 –in <dateiname_key.pem> –out <dateiname-no-pw.pem>