CSR erstellen

Was ist eine CSR?

CSR ist die Abkürzung für „Certificate Signing Request" (englisch für „Zertifikatsanforderung"). Die CSR ist die Vorstufe eines SSL-Zertifikats und wird benötigt, um ein SSL-Zertifikat bei einer Zertifizierungsstelle zu beantragen.

Um eine CSR zu erzeugen, müssen Sie ein Schlüsselpaar für Ihren Server erstellen, bestehend aus einem privaten Schlüssel (Private Key) und der CSR. Die CSR enthält Informationen zum Antragssteller und der Domain, die verschlüsselt werden soll, sowie den öffentlichen Schlüssel (Public Key).

Der private Schlüssel verbleibt bei Ihnen und darf nicht veröffentlicht werden. Das Zertifikat ist später untrennbar mit dem privaten Schlüssel verbunden. Dieser sollte daher gut aufbewahrt und zusätzlich z.B. auf einem externen Datenträger gesichert werden.

Wie erstelle ich eine CSR für Apache-SSL?

Um den privaten Schlüssel und die CSR zu erstellen, benötigen Sie das Programm "openssl", das im Paket OpenSSL enthalten ist. Normalerweise ist es unter "/usr/local/ssl/bin" installiert. Falls Sie es in einem anderen Verzeichnis installiert haben, berücksichtigen Sie dies bitte bei der Anleitung entsprechend.

1. Schritt: Den privaten Schlüssel erzeugen

  • Wechseln Sie in das Verzeichnis, in dem Sie den privaten Schlüssel speichern möchten.

  • Um einen privaten Schlüssel zu erstellen, führen Sie das unten stehende Kommando aus.
    "www.example.com.key" ist dabei ein Beispiel für den Dateinamen. Wählen Sie hier einen Dateinamen, den Sie später wieder der Seite zuordnen können:
openssl genrsa -out www.example.com.key 2048 

Der Befehl erzeugt einen 2048 Bit RSA-Private-Key. Bitte beachten Sie dabei, dass die Schlüssellänge 2048 Bit betragen muss.

Schützen Sie den privaten Schlüssel vor unberechtigtem Zugriff
Die Datei www.example.com.key enthält den privaten Schlüssel. Stellen Sie unbedingt sicher, dass keine unberechtigten Personen auf den privaten Schlüssel zugreifen können und schützen Sie die Schlüssel-Datei vor fremdem Zugriff, z.B. über Dateizugriffsrechte.

Sicherheitskopie erstellen
Das Zertifikat ist später untrennbar mit dem privaten Schlüssel verbunden. Wenn Sie die Datei mit dem privaten Schlüssel verlieren und eine neue Datei erzeugen, passt das SSL-Zertifikat nicht mehr zu dem Schlüsselpaar. Sie müssen das Zertifikat dann neu ausstellen lassen.

  • Erstellen Sie daher ein Backup der .key-Datei und schützen Sie auch dieses Backup vor unberechtigtem Zugriff.

2. Schritt: CSR erzeugen

  • Wechseln Sie in das Verzeichnis, in dem Sie das SSL-Zertifikat speichern möchten.

  • Um die CSR zu erstellen, führen Sie den folgenden Befehl aus.
    Passen Sie dabei "www.example.com.key" an den Dateinamen Ihres privaten Schlüssels an und ersetzen Sie "www.example.com.csr" durch einen Dateinamen für die CSR-Datei:
openssl req -new -key www.example.com.key -out www.example.com.csr 
  • Sie werden dann zur Eingabe einiger Informationen für den Zertifikatsantrag aufgefordert. Diese Informationen werden später auch im Zertifikat angezeigt. Eine Ausnahme stellen Zertifikate mit Domain-Validierung dar. Dort erscheinen später lediglich das Land und der Domainname im Zertifikat.

Bitte verwenden Sie bei Ihrer Eingabe keine Umlaute.

  • Country Name (2 letter code): Geben Sie hier den ISO-Ländercode in Großbuchstaben an, zum Beispiel: DE
    Eine Liste der ISO-Ländercodes finden Sie auf der Webseite der ISO.

  • State or Province: Geben Sie das Bundesland an, zum Beispiel: Bayern

  • Locality or City: Geben Sie hier Ihren Ort an, zum Beispiel: Muenchen 

  • Company: Geben Sie hier Ihren Firmennamen inklusive Rechtsform an. Dabei sind nur die folgenden Sonderzeichen erlaubt: - . *. Sollte der Name ein anderes Sonderzeichen enthalten, lassen Sie das Zeichen bitte weg oder schreiben Sie es aus. Statt "A & B GmbH" geben Sie z. B. "A und B GmbH" oder "AB GmbH" ein. 

  • Organizational Unit: Hier können Sie die Abteilung angeben, für die das Zertifikat bestellt wird. Die Angabe ist optional. Um das Feld zu überspringen, drücken Sie die Enter-Taste. 

  • Common Name: Geben Sie bei “Common Name” die Domain/Subdomain an, für die das Zertifikat ausgestellt werden soll, zum Beispiel: www.example.com

    Bitte beachten Sie dabei:
    • Das Zertifikat wird exakt für die bei "Common Name" angegebene Domain oder Subdomain ausgestellt und kann nur mit dieser genutzt werden. Wenn Sie beispielsweise "example.com" angeben, ist das Zertifikat für den Aufruf von https://example.com gültig, nicht jedoch für https:///www.example.com.
    • Falls Sie ein Zertifikat für eine Umlaut-Domain bestellen, geben Sie den Domainnamen bitte als ACE-String an.
  • Bitte lassen Sie die Felder "Email Address" "A challenge password" und "An optional company name" leer.
  • Die eingegebenen Daten können Sie bei Bedarf mit folgendem Befehl überprüfen:
openssl req -noout -text -in www.example.com.csr

3. Schritt: Zertifikat im Kundenmenü bestellen

Sie benötigen die CSR-Datei (www.example.com.csr) dann bei der Bestellung des Zertifikats im Kundenmenü:

  • Öffnen Sie die CSR-Datei mit einem Texteditor wie Notepad oder Vi. Bitte verwenden Sie kein Textverarbeitungsprogramm wie Microsoft Word, da dieses unter Umständen zusätzliche Zeichen einfügt.

  • Kopieren Sie den Inhalt der CSR-Datei dann bei der Bestellung des Zertifikats im Kundenmenü in das Feld "Certificate Signing Request".

Wie erstelle ich eine CSR für Windows 2003 / IIS 6?

Um eine Zertifikatsanforderung (CSR) für IIS 6 zu erstellen, müssen Sie ein Schlüsselpaar bestehend aus einem privaten Schlüssel und der CSR für Ihren Server erzeugen.

Und so geht's:

  • Wählen Sie "Start", "Verwaltung", "Internetinformationsdienste-Manager".

  • Führen Sie einen Rechtsklick auf den Namen der Webseite durch, für die Sie das Zertifikat nutzen möchten, und wählen Sie "Eigenschaften".

  • Wechseln Sie zum Reiter "Verzeichnissicherheit".

  • Um den Zertifikats-Assistenten zu starten, klicken Sie im Abschnitt "Sichere Kommunikation" auf "Serverzertifikat...". Klicken Sie auf "Weiter".

  • Wählen Sie "Neues Zertifikat erstellen" und klicken Sie auf "Weiter".

  • Wählen Sie "Anforderung jetzt vorbereiten, aber später senden" und "Weiter".

  • Ergänzen Sie im nächsten Schritt die folgenden Eingaben:
  • Geben Sie einen Namen für das Zertifikat an.
  • Wählen Sie als Bitlänge 2048.
  • Die Option "Kryptografischedienstanbieter (CSP) für dieses Zertifikat auswählen" muss deaktiviert sein.
  • Wählen Sie "Weiter".

  • Um den privaten Schlüssel und die CSR zu erzeugen, ergänzen Sie dann in den nächsten Schritten die folgenden Daten. Diese Informationen werden später auch im Zertifikat angezeigt. Eine Ausnahme stellen Zertifikate mit Domain-Validierung dar. Dort erscheinen später lediglich das Land und der Domainname im Zertifikat.

    Bitte verwenden Sie bei Ihrer Eingabe keine Umlaute.
  • Organisation: Geben Sie hier Ihren Firmennamen inklusive Rechtsform an. Dabei sind nur die folgenden Sonderzeichen erlaubt: - . *. Sollte der Name ein anderes Sonderzeichen enthalten, lassen Sie das Zeichen bitte weg oder schreiben Sie es aus. Statt "A & B GmbH" geben Sie z. B. "A und B GmbH" oder "AB GmbH" ein.

  • Organisationseinheit: Hier können Sie die Abteilung angeben, für die das Zertifikat bestellt wird. Die Angabe ist optional.

  • Gemeinsamer Name (CN): Geben Sie bei “Common Name” die Domain/Subdomain an, für die das Zertifikat ausgestellt werden soll, zum Beispiel: www.example.com

    Bitte beachten Sie dabei:
    • Das Zertifikat wird exakt für die bei "Common Name" angegebene Domain oder Subdomain ausgestellt und kann nur mit dieser genutzt werden. Wenn Sie beispielsweise "example.com" angeben, ist das Zertifikat für den Aufruf von https://example.com gültig, nicht jedoch für https:///www.example.com.
    • Falls Sie ein Zertifikat für eine Umlaut-Domain bestellen, geben Sie den Domainnamen bitte als ACE-String an.
  • Land/Region: Geben Sie hier den ISO-Ländercode in Großbuchstaben an, zum Beispiel: DE
    Eine Liste der ISO-Ländercodes finden Sie auf der Webseite der ISO.

  • Bundesland/Kanton: Geben Sie das Bundesland an, zum Beispiel: Bayern

  • Ort: Geben Sie hier Ihren Ort an, zum Beispiel: Muenchen
  • Im Schritt "Name der Zertifikatanforderungsdatei" geben Sie bitte den Namen und Speicherort der CSR-Datei an. Klicken Sie auf "Weiter".

  • Sie sehen dann eine Zusammenfassung der Zertifikatsanforderung. Änderungen sind über den "Zurück-Button" möglich. Wenn alle Daten korrekt sind, klicken Sie auf "Weiter".

  • Wählen Sie "Fertig stellen", um den Assistenten zu beenden. Die CSR-Datei wird erstellt.

Bitte beachten Sie:
Die ausstehende Anforderung auf der Webseite muss bestehen bleiben und darf nicht aus dem Zertifikats-Assistenten gelöscht werden. Falls Sie die ausstehende Anforderung löschen, können Sie das Zertifikat, das Sie zurück erhalten, nicht installieren!

Zertifikat im Kundenmenü bestellen

Sie benötigen die CSR-Datei (www.example.com.csr) dann bei der Bestellung des Zertifikats im Kundenmenü:

  • Öffnen Sie die CSR-Datei mit einem Texteditor wie Notepad oder Vi. Bitte verwenden Sie kein Textverarbeitungsprogramm wie Microsoft Word, da dieses unter Umständen zusätzliche Zeichen einfügt.

  • Kopieren Sie den Inhalt der Datei dann bei der Bestellung des Zertifikats im Kundenmenü in das Feld "Certificate Signing Request".

Wie erstelle ich eine CSR für Windows 2008 / IIS 7?

Um eine Zertifikatsanforderung (CSR) für IIS 7 zu erstellen, müssen Sie ein Schlüsselpaar bestehend aus einem privaten Schlüssel und der CSR für Ihren Server erzeugen.

Und so geht's:

  • Wählen Sie "Start", "Verwaltung", "Internetinformationsdienste-Manager".

  • Klicken Sie in der linken Spalte auf Ihren Servernamen.

  • Führen Sie einen Doppelklick auf "Serverzertifikate" durch, die Sie im mittleren Bereich finden.

  • Um den Assistenten für die Erstellung der CSR zu starten, klicken Sie im rechten Bereich des Fensters bei "Aktionen" auf "Zertifikatanforderung erstellen...".

  • Im ersten Schritt des Assistenten werden Details abgefragt, welche die neue Seite betreffen. Diese Informationen werden später auch im Zertifikat angezeigt. Eine Ausnahme stellen Zertifikate mit Domain-Validierung dar. Dort erscheinen später lediglich das Land und der Domainname im Zertifikat.

    Bitte verwenden Sie bei Ihrer Eingabe keine Umlaute.
  • Gemeinsamer Name: Geben Sie bei “Common Name” die Domain/Subdomain an, für die das Zertifikat ausgestellt werden soll, zum Beispiel: www.example.com

    Bitte beachten Sie dabei:
    • Das Zertifikat wird exakt für die bei "Common Name" angegebene Domain oder Subdomain ausgestellt und kann nur mit dieser genutzt werden. Wenn Sie beispielsweise "example.com" angeben, ist das Zertifikat für den Aufruf von https://example.com gültig, nicht jedoch für https:///www.example.com.
    • Falls Sie ein Zertifikat für eine Umlaut-Domain bestellen, geben Sie den Domainnamen bitte als ACE-String an.
  • Organisation: Geben Sie hier Ihren Firmennamen inklusive Rechtsform an. Dabei sind nur die folgenden Sonderzeichen erlaubt: - . *. Sollte der Name ein anderes Sonderzeichen enthalten, lassen Sie das Zeichen bitte weg oder schreiben Sie es aus. Statt "A & B GmbH" geben Sie z. B. "A und B GmbH" oder "AB GmbH" ein.

  • Organisationseinheit: Hier können Sie die Abteilung angeben, für die das Zertifikat bestellt wird. Die Angabe ist optional.

  • Ort: Geben Sie hier Ihren Ort an, zum Beispiel: Muenchen

  • Bundesland/Kanton: Geben Sie das Bundesland an, zum Beispiel: Bayern

  • Land/Region: Geben Sie hier den ISO-Ländercode in Großbuchstaben an, zum Beispiel: DE
    Eine Liste der ISO-Ländercodes finden Sie auf der Webseite der ISO.
  • Um fortzufahren, klicken Sie auf "Weiter".

  • Im nächsten Schritt können Sie Einstellungen für die Verschlüsselung vornehmen:
  • Kryptografiedienstanbieter: Belassen Sie den voreingestellte Anbieter "Microsoft RSA SChannel Cryptographic Provider".
  • Bitlänge: Als Schlüssellänge ist 1024 voreingestellt. Wählen Sie hier eine Bitlänge von 2048.
  • Wählen Sie "Weiter".

  • Wählen Sie dann den Speicherort für die Datei und geben Sie einen Dateinamen an, unter dem die CSR gespeichert werden soll.

  • Klicken Sie abschließend auf "Fertig stellen", um den Assistenten zu beenden. Die CSR-Datei wird dann erstellt.

Bitte beachten Sie:
Die ausstehende Anforderung auf der Webseite muss bestehen bleiben und darf nicht aus dem Zertifikats-Assistenten gelöscht werden. Falls Sie die ausstehende Anforderung löschen, können Sie das Zertifikat, das Sie zurück erhalten, nicht installieren!

Zertifikat im Kundenmenü bestellen

Sie benötigen die CSR-Datei (www.example.com.csr) dann bei der Bestellung des Zertifikats im Kundenmenü:

  • Öffnen Sie die CSR-Datei mit einem Texteditor wie Notepad oder Vi. Bitte verwenden Sie kein Textverarbeitungsprogramm wie Microsoft Word, da dieses unter Umständen zusätzliche Zeichen einfügt.

  • Kopieren Sie den Inhalt der Datei dann bei der Bestellung des Zertifikats im Kundenmenü in das Feld "Certificate Signing Request".
NeinJa

Haben Ihnen die FAQ weitergeholfen?

domainFACTORY Forum

Im domainFACTORY Forum finden Sie viele weitere Fragen und Antworten oder stellen Sie einfach Ihre Frage. Die domainFACTORY Community hilft Ihnen gerne weiter!

Forenbereiche zum Thema dieser FAQ

SSL-Zertifikate

Sie kommen aus Deutschland? Besuchen Sie unsere deutsche Webseite!
Sie kommen aus Österreich? Besuchen Sie unsere österreichische Webseite!
Sie kommen nicht aus Deutschland oder Österreich? Besuchen Sie unsere internationale Webseite!
Nicht mehr anzeigen