CSR, ausgeschrieben "Certificate Signing Request", kann man übersetzen als  "Anfrage für die Zertifikats-Signierung". Der CSR ist eine verschlüsselte Datei mit Informationen, die die CA für die Ausstellung des Zertifikates benötigt und wird bei der Bestellung eines TLS/SSL-Zertifikats an die Zertifizierungsstelle (CA) gesendet. Eine andere Bezeichnung für den CSR ist CSR Key.

Der CSR wird auf dem Server erzeugt, auf dem später das Zertifikat installiert werden soll. Dabei müssen alle Daten angegeben werden, die die CA für das Ausstellen des Zertifikates benötigt. Der CSR ist verschlüsselt und mit dem Private Key signiert, der gemeinsam mit dem CSR auf dem Server erzeugt wird.
Der CSR wird meist in einem Base-64-basierten PEM-Format erstellt und kann mit einem einfachen Texteditor geöffnet werden.

Diese Informationen enthält der CSR

• Den Public Key
• Informationen über Art des Keys und -länge. Die häufigste Größe des Keys ist RSA 2048. Manche CAs unterstützen aber auch größere Keys (z. B. RSA 4096+) oder ECC-Key.
• Informationen über das Unternehmen und die Website, die mit TLS/SSL gesichert werden soll, soweit sie bei der Erzeugung des CSR angegeben wurden.

Beispiel für ein CSR

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Private Key und CSR mit OpenSSL generieren

→ Gib für die Erzeugung des CSR-Codes und des Private Keys folgende Befehle ein.

$ openssl req -out server.example.com.csr -new -newkey rsa:2048 -nodes -keyout server.example.com.key

Die Bedeutung der Befehle

• openssl: Die Software OpenSSL verwenden
• req:  CSR Request Kommando
• -new: Neuen Key erzeugen
• -out server.example.com.csr: Name der CSR-Datei, die ausgegeben werden soll
• -newkey rsa:2048: Verschlüsselung mit RSA 2048
• -nodes -keyout: Ausgabedatei für den erstellten Key
• -newkey server.example.com.key: Name der Datei mit dem Private Key

Weiter Informationen unter https://www.openssl.org/docs/manmaster/man1/req.html

Du wirst dann aufgefordert mehrere Informationen einzugeben.

Country Name (2 letter code) [XX]:DE
State or Province Name (full name) []:Bayern
Locality Name (eg, city) [Default City]:Regensburg
Organization Name (eg, company) [Default Company Ltd]:Examplecompany GmbH
Common Name (eg, your name or your server's hostname) []:server.example.com
Email Address []:hostmaster@example.com

Erforderlich ist die Eingabe für:

• Country Name: 2-stelliger Länder-Code, für Deutschland z. B. DE. Manche CAs, verlangen hier Großbuchstaben!
  
• Common Name: Hostname des Servers

Diese Felder können frei gelassen werden:

• State or Province Name: Bundesland
• Locality Name: Ort
• Organization Name: Name des Unternehmens
  
• Email address: E-Mail-Adresse des Ansprechpartners für das Zertifikat im Unternehmen

Du wirst aufgefordert Werte für zusätzliche Attribute einzugeben. Diese Angaben sind nicht erforderlich und die Felder können frei gelassen werden.

A challenge password []:
An optional company name []:

→ Drücke abschließend Enter. Mit diesen Angaben werden dann nun die Dateien mit CSR und Private Key erzeugt.

→  Zum Öffnen der Dateien gib den Befehl cat und den Dateinamen ein. Dann kannst du den CSR-Code für die Zertifikats-Bestellung kopieren.

$ cat server.example.com.csr
$ cat server.example.com.key

Den Befehl zum Erstellen des CSR im SSL Manager erzeugen

→ Logge dich im SSL Manager ein.

→ Klicke in der Menügruppe Kundencenter den Eintrag Tools an.

Es öffnet sich das Formular OpenSSL CSR-Generator.

→ Gib im Bereich Zertifikats-Details die Werte ein. Nur die Werte Name und Land sind erforderlich.

→ Klicke auf Erzeugen. Der OpenSSL-Befehl wird im Bereich Informationen angezeigt.

Du kannst nun den Befehl kopieren und für das Erstellen eines CSR-Codes verwenden.