Um einen Key mit Hilfe von Openssl zu erzeugen muss man zuerst einen Schlüssel erzeugen:

     

     # openssl genrsa -des3 -out server.key 1024

Mit Hilfe des folgenden Befehls kann man die Daten überprüfen:

     # openssl rsa -noout  -text -in server.key  |less

Da der Webserver aber automatisch gestartet werden soll, muss das Passwort wieder entfernt werden:

     # openssl rsa -in server.key  -out server.key-unsicher

     # mv server.key-unsicher server.key

Diesen Schlüssel muss man jetzt von einer CA gegenzeichnen lassen. Dafür muss der "Certificate Signing Request" erzeugt werden, der die verschiedenen Informationen vom Benutzer erfragt:

     # openssl req -new -key server.key  -out server.csr

Der so erzeugte CSR wird von den Signierungsinstanzen im Laufe des Antragsverfahrens abgefragt. Bekannte Zertifizierungsinstanzen sind z.B.: das Trustcenter oder Verisign. Neben dem Schlüssel benötigt man je nach Zertifizierungsstufe für "echte" Zertifikate noch Handelsregisterauszüge, Personalausweise, ...