CSR - Certificate Signing Request

Inhaltsverzeichnis dieser Seite

CSR, ausgeschrieben "Certificate Signing Request", kann man übersetzen als "Anfrage für die Zertifikats-Signierung". Der CSR ist eine verschlüsselte Datei mit Informationen, die die CA für die Ausstellung des Zertifikates benötigt und wird bei der Bestellung eines SSL-Zertifikats an die Zertifizierungsstelle (CA) gesendet. Eine andere Bezeichnung für den CSR ist CSR Key.

Der CSR wird auf dem Server erzeugt, auf dem später das Zertifikat installiert werden soll. Dabei müssen alle Daten angegeben werden, die die CA für das Ausstellen des Zertifikates benötigt. Der CSR ist verschlüsselt und mit dem Private Key signiert, der gemeinsam mit dem CSR auf dem Server erzeugt wird.
Der CSR wird meist in einem Base-64-basierten PEM-Format erstellt und kann mit einem einfachen Texteditor geöffnet werden.

Diese Informationen enthält der CSR

Den Public Key
Informationen über Art des Keys und -länge. Die häufigste Größe des Keys ist RSA 2048. Manche CAs unterstützen aber auch größere Keys (z. B. RSA 4096+) oder ECC-Key.
Informationen über das Unternehmen und die Website, die mit SSL gesichert werden soll, soweit sie bei der Erzeugung des CSR angegeben wurden.

Beispiel für ein CSR

Private Key und CSR mit OpenSSL generieren

→ Gib für die Erzeugung des CSR-Codes und des Private Keys folgende Befehle ein.

$ openssl req -out server.example.com.csr -new -newkey rsa:2048 -nodes -keyout server.example.com.key

Die Bedeutung der Befehle

openssl: Die Software OpenSSL verwenden
req: CSR Request Kommando
-new: Neuen Key erzeugen
-out server.example.com.csr: Name der CSR-Datei, die ausgegeben werden soll
-newkey rsa:2048: Verschlüsselung mit RSA 2048
-nodes -keyout: Ausgabedatei für den erstellten Key
-newkey server.example.com.key: Name der Datei mit dem Private Key

Weiter Informationen unter https://www.openssl.org/docs/manmaster/man1/req.html

Du wirst dann aufgefordert mehrere Informationen einzugeben.

Country Name (2 letter code) [XX]:DE
State or Province Name (full name) []:Bayern
Locality Name (eg, city) [Default City]:Regensburg
Organization Name (eg, company) [Default Company Ltd]:Examplecompany GmbH
Common Name (eg, your name or your server's hostname) []:server.example.com
Email Address []:hostmaster@example.com

Erforderlich ist die Eingabe für:

Country Name: 2-stelliger Länder-Code, für Deutschland z. B. DE. Manche CAs, verlangen hier Großbuchstaben!
Common Name: Hostname des Servers

Diese Felder können frei gelassen werden:

State or Province Name: Bundesland
Locality Name: Ort
Organization Name: Name des Unternehmens
Email address: E-Mail-Adresse des Ansprechpartners für das Zertifikat im Unternehmen

Du wirst aufgefordert Werte für zusätzliche Attribute einzugeben. Diese Angaben sind nicht erforderlich und die Felder können frei gelassen werden.

A challenge password []:
An optional company name []:

→ Drücke abschließend Enter. Mit diesen Angaben werden dann nun die Dateien mit CSR und Private Key erzeugt.

→ Zum Öffnen der Dateien gib den Befehl cat und den Dateinamen ein. Dann kannst du den CSR-Code für die Zertifikats-Bestellung kopieren.

$ cat server.example.com.csr
$ cat server.example.com.key

Den Befehl zum Erstellen des CSR im SSL Manager erzeugen

→ Logge dich im SSL Manager ein.

→ Klicke in der Menügruppe Kundencenter den Eintrag Tools an.

Es öffnet sich das Formular OpenSSL CSR-Generator.

→ Gib im Bereich Zertifikats-Details die Werte ein. Nur die Werte Name und Land sind erforderlich.

→ Klicke auf Erzeugen. Der OpenSSL-Befehl wird im Bereich Informationen angezeigt.

Du kannst nun den Befehl kopieren und für das Erstellen eines CSR-Codes verwenden.