Meine Werkzeuge
User menu

Zertifizierungsanforderung (CSR)

Aus Domain-Offensive - Wiki

Wechseln zu: Navigation, Suche

Eine Zertifizierungsanforderung (Certificate Signing Request oder auch kurz CSR) ist eine wirre Zeichenkette, die die vom Antragsteller gewählten und eingegebenen Daten wie die Internetadresse, die geschützt werden soll, den Zertifikatsinhaber sowie dessen Adresse enthält und diese öffentlichen Daten mit dem öffentlichen Schlüssel, der später durch das Zertifikat bestätigt werden soll, verbindet. Mit der Zertifizierungsanforderung und für die Technik primär dem öffentlichen Schlüssel, wird zugleich auch der private Schlüssel erzeugt, der beim Antragsteller verbleibt, nicht veröffentlicht werden sollte und da er später untrennbar mit dem Zertifikat verknüpft ist, ausserdem an sicherer Stelle gesichert werden sollte.

Die Zertifizierungsanforderung wird mit den häufig ergänzend zu machenden Angaben wie Strasse und Postleitzahl nach erfolgreicher Prüfung des Antragstellers von einer Zertifizierungsstelle digital bestätigt, man nennt dies auch die Zertifizierungsanforderung digital zu unterschreiben oder eben zu zertifizieren.

Das Zertifikat, was hieraus entsteht, ist wieder eine wirre Zeichenkette, die der Antragsteller mit dem bei ihm verbliebenen privaten Schlüssel auf dem Server einspielt bzw. einbindet (je nach Serversoftware) und mit einer dafür vorgesehenen IP verbindet. Häufig erfordert die Serversoftware anschließend noch einen Neustart, um das Zertifikat in Betrieb zu setzen.

Erstellung der Zertifizierungsanforderung (CSR) mit Apache

Erstellen Sie Ihre CSR-Datei wie folgt. Um ein Schlüsselpaar bestehend aus privatem Schlüssel und öffentlicher Zertifizierungsanforderung (CSR) zu erstellen, geben Sie folgenden Befehl ein:

openssl req -new -nodes -keyout dateiname.key -out dateiname.csr -sha256 -newkey rsa:4096

Wichtig: Bitte geben Sie kein Challenge-Kennwort ein. Lassen Sie das Feld bitte frei und bestätigen Sie mit Enter. Die Zertifizierungsstellen können CSR-Dateien mit gesetztem CHPW-Flag nicht lesen. Der Webserver kann einen verschlüsselten Private-Key ebenfalls nicht (ohne Kennworteingabe beim Start) lesen.


Es empfiehlt sich den Dateinamen so zu wählen, dass Sie ihn auch später eindeutig der Seite/Domain zuordnen können. Wir empfehlen daher die Verwendung der zu zertifizierenden Domain unter Austausch der Punkte durch Unterstriche als Dateinamen und der aktuellen Jahreszahl, also zum Beispiel www_do_de-2012.key bzw. www_do_de-2012.csr.

Der Befehl erstellt zwei Dateien. Die Datei mit der Endung .key enthält den privaten Schlüssel, geben Sie diese Datei daher nicht an Fremde weiter. Bitte erstellen Sie auf jeden Fall ein Backup Ihres privaten Schlüssels, da es keine Möglichkeit der Wiederherstellung nach einem Verlust gibt. Der private Schlüssel dient als Grundlage der Zertifizierungsanforderung (CSR) und damit auch als Grundlage des Zertifikates.

Bei der Erstellung des CSR werden Sie nach einigen Details gefragt, die neben dem öffentlichen Schlüssel in den CSR aufgenommen werden und diesen eindeutig machen. Einige Felder haben hierbei einen Standardwert, um diesen zu übernehmen drücken Sie einfach die Eingabetaste, möchten Sie das jeweilige Feld leer lassen geben Sie einen Punkt (.) ein.

Country Name (2 letter code) [AU]: DE

hier geben Sie Ihr Länderkürzel ein

State or Province Name (full name) [Some-State]: Niedersachsen

hier geben Sie Ihr Bundesland ein

Locality Name (eg, city) []: Alfeld (Leine)

hier geben Ihren Ort ein

Organization Name (eg, company) [Internet Widgits Pty Ltd]: Greenmark IT GmbH

hier geben Sie Ihren Firmennamen / Organisationsnamen / Vor- und Zunamen ein, je nachdem, was für Sie am zutreffendsten ist

Organizational Unit Name (eg, section) []: IT

hier können Sie eine Abteilung eingeben, dieses Feld kann aber auch leer bleiben

Common Name (e.g. server FQDN or YOUR name) []: www.domain.de

hier geben Sie die zu sicherende Seite ein, die Angabe muss einen vollständigen Domainnamen enthalten, möchten Sie also https://www.domain.de/... schützen, geben Sie www.domain.de ein, domain.de reicht hier nicht aus, es sei denn, Sie möchten nur https://domain.de/... schützen. Dateien und Unverzeichnisse hingegen sind jeweils immer eingeschlossen.

Email Address []: info@domain.de

hier geben Sie Ihre E-Mail-Adresse ein

Gegebenenfalls werden Sie nach folgenden 'extra'-Angaben gefragt

A challenge password []:
An optional company name []:

diese lassen Sie bitte immer leer.


Ihr CSR wurde nun erstellt. Öffnen Sie die Datei dateiname.csr anschließend in einem Texteditor und teilen Sie uns dieses mit.

Erstellung der Zertifizierungsanforderung (CSR) mit Plesk 7

1. Melden Sie sich am Plesk 7 Control Panel an.

2. Wählen Sie im Menü links den Punkt 'Domains' aus.

3. Klicken Sie auf den Domainnamen, für den Sie das CSR erstellen möchten.

4. Klicken Sie auf den Menüpunkt 'Zertifikate'.

5. Klicken Sie auf den Eintrag 'Neues Zertifikat hinzufügen'.

6. Geben Sie die erforderlichen Daten ein, alle Felder mit einem roten Stern müssen auf jeden Fall ausgefüllt werden.

7. Klicken Sie auf den 'Beantragen'-Button.

8. Sie gelangen nun zurück in das Zertifikatsmenü. Aus der Liste am Ende der Seite klicken Sie auf den Zertifikatsnamen, den Sie gerade erstellt haben. Sie finden nun weiter unten in der Mitte eine Textbox mit der Beschriftung CSR. Den Inhalt der Textbox kopieren Sie in die Zwischenablage, er sollte ungefähr so aussehen wie das nachfolgende Beispiel:

-----BEGIN CERTIFICATE REQUEST-----

MIIBSzCB9gIBADCBkDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMQ4wDAYD .... HNX2uFXghrjBJw3mtZ36JhG7cLeWZK7B+4dmOL4f2ToreSW946wQMxK5ZYYOK68=


END CERTIFICATE REQUEST-----

9. Kopieren Sie anschliessend den Inhalt der Zwischenablage und schicken uns diesen.

Erstellung der Zertifizierungsanforderung (CSR) mit Confixx

Wir raten von der Erstellung eines CSR über Confixx ab und raten Ihnen anstelle dessen das CSR gemäß der Anleitung für Apache direkt zu erstellen.

Die Gründe hierfür sind:

  • die in älteren Confixx-Versionen vorhandene Zwangsumlenkung auf https, die nicht immer gewollt ist und sich häufig nur durch direkte Manipulation der Confixx-Datenbank deaktivieren lässt,
  • die Einspielung eines eventuellen Zwischenzertifikates kann in älteren Confixx-Versionen nur durch einen Admin über httpd spezial oder durch den root-User über die httpd.conf erfolgen,
  • es kann nur eine Domain innerhalb eines Webpaketes mit SSL ausgestattet werden,
  • auch alle anderen Domains des Webpaketes erhalten die abweichende IP-Adresse, was zum einen bedeutet, daß der DNS aktualisiert werden muss, zum anderen aber auch bedeutet, daß wenn man irgendeine der anderen Domains mit dem Vorspann https:// einzugeben versucht, man bei genau dem einen SSL-Web landet sowie
  • die eventuelle spätere Deaktivierung der SSL-Funktion gestaltet sich recht umständlich.