CSR erstellen

CSR ist die Abkürzung für „Certificate Signing Request" (englisch für „Zertifikatsanforderung"). Die CSR ist die Vorstufe eines SSL-Zertifikats und wird benötigt, um ein SSL-Zertifikat bei einer Zertifizierungsstelle zu beantragen.

Um eine CSR zu erzeugen, müssen Sie ein Schlüsselpaar für Ihren Server erstellen, bestehend aus einem privaten Schlüssel (Private Key) und der CSR. Die CSR enthält Informationen zum Antragssteller und der Domain, die verschlüsselt werden soll, sowie den öffentlichen Schlüssel (Public Key).

Der private Schlüssel verbleibt bei Ihnen und darf nicht veröffentlicht werden. Das Zertifikat ist später untrennbar mit dem privaten Schlüssel verbunden. Dieser sollte daher gut aufbewahrt und zusätzlich z.B. auf einem externen Datenträger gesichert werden.

Um den privaten Schlüssel und die CSR zu erstellen, benötigen Sie das Programm "openssl", das im Paket OpenSSL enthalten ist. Normalerweise ist es unter "/usr/local/ssl/bin" installiert. Falls Sie es in einem anderen Verzeichnis installiert haben, berücksichtigen Sie dies bitte bei der Anleitung entsprechend.

1. Schritt: Den privaten Schlüssel erzeugen

• Wechseln Sie in das Verzeichnis, in dem Sie den privaten Schlüssel speichern möchten.
  
  
• Um einen privaten Schlüssel zu erstellen, führen Sie das unten stehende Kommando aus.
  "www.example.com.key" ist dabei ein Beispiel für den Dateinamen. Wählen Sie hier einen Dateinamen, den Sie später wieder der Seite zuordnen können:

openssl genrsa -out www.example.com.key 2048 

Der Befehl erzeugt einen 2048 Bit RSA-Private-Key. Bitte beachten Sie dabei, dass die Schlüssellänge 2048 Bit betragen muss.

Schützen Sie den privaten Schlüssel vor unberechtigtem Zugriff
Die Datei www.example.com.key enthält den privaten Schlüssel. Stellen Sie unbedingt sicher, dass keine unberechtigten Personen auf den privaten Schlüssel zugreifen können und schützen Sie die Schlüssel-Datei vor fremdem Zugriff, z.B. über Dateizugriffsrechte.

Sicherheitskopie erstellen
Das Zertifikat ist später untrennbar mit dem privaten Schlüssel verbunden. Wenn Sie die Datei mit dem privaten Schlüssel verlieren und eine neue Datei erzeugen, passt das SSL-Zertifikat nicht mehr zu dem Schlüsselpaar. Sie müssen das Zertifikat dann neu ausstellen lassen.

• Erstellen Sie daher ein Backup der .key-Datei und schützen Sie auch dieses Backup vor unberechtigtem Zugriff.

2. Schritt: CSR erzeugen

• Wechseln Sie in das Verzeichnis, in dem Sie das SSL-Zertifikat speichern möchten.
  
  
• Um die CSR zu erstellen, führen Sie den folgenden Befehl aus.
  Passen Sie dabei "www.example.com.key" an den Dateinamen Ihres privaten Schlüssels an und ersetzen Sie "www.example.com.csr" durch einen Dateinamen für die CSR-Datei:

openssl req -new -key www.example.com.key -sha256 -out www.example.com.csr

• Sie werden dann zur Eingabe einiger Informationen für den Zertifikatsantrag aufgefordert. Diese Informationen werden später auch im Zertifikat angezeigt. Eine Ausnahme stellen Zertifikate mit Domain-Validierung dar. Dort erscheinen später lediglich das Land und der Domainname im Zertifikat.

Bitte verwenden Sie bei Ihrer Eingabe keine Umlaute.

• Country Name (2 letter code): Geben Sie hier den ISO-Ländercode in Großbuchstaben an, zum Beispiel: DE
  Eine Liste der ISO-Ländercodes finden Sie auf der Webseite der ISO.
  
  
• State or Province: Geben Sie das Bundesland an, zum Beispiel: Bayern
  
  
• Locality or City: Geben Sie hier Ihren Ort an, zum Beispiel: Muenchen
  
  
• Company: Geben Sie hier Ihren Firmennamen inklusive Rechtsform an. Dabei sind nur die folgenden Sonderzeichen erlaubt: - . *. Sollte der Name ein anderes Sonderzeichen enthalten, lassen Sie das Zeichen bitte weg oder schreiben Sie es aus. Statt "A & B GmbH" geben Sie z. B. "A und B GmbH" oder "AB GmbH" ein. 
  
  
• Organizational Unit: Hier können Sie die Abteilung angeben, für die das Zertifikat bestellt wird. Die Angabe ist optional. Um das Feld zu überspringen, drücken Sie die Enter-Taste. 
  
  
• Common Name: Geben Sie bei “Common Name” die Domain/Subdomain an, für die das Zertifikat ausgestellt werden soll, zum Beispiel: www.example.com
  
  Bitte beachten Sie dabei:
• • Das Zertifikat wird exakt für die bei "Common Name" angegebene Domain oder Subdomain ausgestellt und kann nur mit dieser genutzt werden. Wenn Sie beispielsweise "example.com" angeben, ist das Zertifikat für den Aufruf von example.com gültig, nicht jedoch für http://https:///www.example.com.
  • Falls Sie ein Zertifikat für eine Umlaut-Domain bestellen, geben Sie den Domainnamen bitte als ACE-String an.
• Email Address: Tragen Sie Ihre E-Mail-Adresse ein.
  
  
• Bitte lassen Sie die Felder "A challenge password" und "An optional company name" leer.

• Die eingegebenen Daten können Sie bei Bedarf mit folgendem Befehl überprüfen:

openssl req -noout -text -in www.example.com.csr

3. Schritt: Zertifikat im Kundenmenü bestellen

Sie benötigen die CSR-Datei (www.example.com.csr) dann bei der Bestellung des Zertifikats im Kundenmenü:

• Öffnen Sie die CSR-Datei mit einem Texteditor wie Notepad oder Vi. Bitte verwenden Sie kein Textverarbeitungsprogramm wie Microsoft Word, da dieses unter Umständen zusätzliche Zeichen einfügt.
  
  
• Kopieren Sie den Inhalt der CSR-Datei dann bei der Bestellung des Zertifikats im Kundenmenü in das Feld "Certificate Signing Request".

Bitte beachten Sie, dass bei Microsoft IIS keine Möglichkeit besteht, ein CSR mit SHA256 zu erstellt. Dies wird jedoch für die Ausstellung eines Zertifikats bei uns vorausgesetzt.

Verwenden Sie daher bitte entweder das CSR, das Sie während des Bestellprozesses im Kundenmenü erzeugen können oder nutzen ein anderes Tool zur Erstellung des CSR mit SHA256.