MulticheckMulticheck Domainsuche
Menü anzeigen

CSR

Definitionen und Erklärungen zu CSR

CSR in einfacher Sprache

CSR (Certificate Signing Request) – Der Antrag auf ein SSL-Zertifikat

Ein Certificate Signing Request (CSR) ist eine Datei, die alle relevanten Informationen für die Ausstellung eines SSL-/TLS-Zertifikats enthält. Wenn bei einer Zertifizierungsstelle (CA) wie Sectigo oder DigiCert ein Zertifikat angefordert wird, muss der Antragsteller diese CSR einreichen. Sie enthält Angaben zu Domain, Organisation und kryptographischen Schlüsseln. Die CA verwendet diese Angaben, um die Identität des Antragstellers zu verifizieren, bevor sie das gewünschte Zertifikat ausstellt.

Die Erstellung der CSR erfolgt typischerweise auf dem Server, auf dem das SSL-Zertifikat später genutzt wird. Während dieses Prozesses wird auch ein privater Schlüssel generiert, der auf dem Server verbleibt und niemals an die CA weitergegeben wird. Der öffentliche Teil des Schlüssels geht gemeinsam mit den hinterlegten Domain- und Organisationsdaten in die CSR ein. Damit wird sichergestellt, dass nur der rechtmäßige Domaininhaber das Zertifikat erhalten und einsetzen kann.

Wichtige Bestandteile einer CSR

Eine ordnungsgemäß erstellte CSR enthält mehrere Schlüsselinformationen, die für die Zertifizierungsstelle relevant sind:

  • Common Name (CN): Diese Angabe bezeichnet die Domain, für die das Zertifikat gelten soll (z. B. www.meine-domain.de).
  • Organisation: Der Name des Unternehmens oder der Person, auf den die Domain registriert ist (z. B. „Max Mustermann“).
  • Organisationseinheit (OU): Optionales Feld, das Abteilungen wie „IT“ oder „Sicherheit“ widerspiegeln kann.
  • Land, Bundesland, Ort: Angaben zum Sitz der Organisation, damit sich die Zertifizierungsstelle ein Bild über den Standort machen kann.
  • Kryptografische Methoden: Informationen zum verwendeten Algorithmus (z. B. RSA oder ECC) sowie die Schlüssellänge (z. B. 2048 Bit).

Die Zertifizierungsstelle verwendet die CSR, um zu prüfen, ob die angegebene Domain dem Antragsteller gehört und ob alle weiteren Informationen korrekt sind. Nach erfolgreicher Verifizierung wird das Zertifikat ausgestellt, das zusammen mit dem privaten Schlüssel eine verschlüsselte HTTPS-Verbindung ermöglicht.

Vor- und Nachteile einer CSR

Da die CSR essenziell für den Zertifikatsprozess ist, hat ihr Einsatz einige deutliche Vorteile, bringt aber auch Aspekte mit sich, auf die man achten sollte:

  • Vorteile: Der Serverbetreiber behält den privaten Schlüssel, während die Zertifizierungsstelle nur den öffentlichen Teil und die Domain-/Organisationsdaten erhält. Dies sorgt für ein sicheres Verfahren und gewährleistet, dass niemand außerhalb des Servers Zugriff auf den geheimen Schlüssel hat.
  • Nachteile: Falsche oder unvollständige Angaben in der CSR, wie Tippfehler im Domainnamen, können den Zertifikatsprozess verzögern. Zudem bedarf es technischer Kenntnisse (z. B. im Umgang mit Tools wie OpenSSL), um eine CSR korrekt zu erstellen.

Zusammen mit einer sauber gepflegten DNS-Konfiguration und einem sicheren Hosting-Umfeld bildet eine sorgfältig erstellte CSR das Fundament für eine reibungslose und sichere SSL-/TLS-Implementierung.

Beispiel für ein CSR am CN www.meine-domain.de

Im Folgenden zeigen wir ein typisches Beispiel, wie man für die Domain www.meine-domain.de eine CSR mit 2048 Bit RSA-Schlüssellänge erstellt. Die Angaben basieren auf dem fiktiven Namen „Max Mustermann“ in Deutschland (DE). Dieses Beispiel verwendet OpenSSL unter Linux.

Zur Erstellung der CSR kann folgender Befehl genutzt werden:

openssl req -new -newkey rsa:2048 -nodes \
  -keyout meine-domain.key \
  -out meine-domain.csr \
  -subj "/C=DE/ST=Berlin/L=Berlin/O=Max Mustermann/CN=www.meine-domain.de"

Der obige Befehl bewirkt Folgendes:

  • Erzeugt einen 2048-Bit-RSA-Schlüssel (meine-domain.key).
  • Generiert gleichzeitig die CSR (meine-domain.csr).
  • Nutzt „DE“ als Länderangabe, „Berlin“ als Bundesland und Ort, „Max Mustermann“ als Organisation (O) und „www.meine-domain.de“ als Common Name (CN).
Inhalt der CSR (Auszug)

Nach der Ausführung dieses Befehls wird die Datei meine-domain.csr erzeugt. Sie enthält einen base64-codierten Block, der die öffentlichen Angaben und den öffentlichen Schlüssel umfasst. Ein Auszug könnte folgendermaßen aussehen (gekürzt):

-----BEGIN CERTIFICATE REQUEST-----
MIICcTCCAVkCAQAwbzELMAkGA1UEBhMCREUxDzANBgNVBAgMBkJlcmxpbjERMA8GA1UE
BwwIQmVybGluMRwwGgYDVQQKDBNNYXggTXVzdGVybWFubjESMBAGA1UEAwwJd3d3Lm1l
aW5lLWRvbWFpbi5kZTBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQDe4yFPQEDz/Xg0zFts
…… (Auszug, hier gekürzt) ……
-----END CERTIFICATE REQUEST-----

Diesen kodierten Inhalt übermittelt man an die Zertifizierungsstelle. Die CA liest die CSR aus, prüft die enthaltenen Angaben (z. B. via Domainvalidierung oder Unternehmensvalidierung) und stellt nach erfolgreicher Prüfung das eigentliche Zertifikat aus. Der Private Key, der bei diesem Prozess entstanden ist (meine-domain.key), verbleibt sicher auf dem eigenen Server.

Bedeutung für SSL-/TLS-Zertifikate

Die Certificate Signing Request ist unverzichtbar für den gesamten Zertifizierungsprozess. Sie fungiert als Bindeglied zwischen dem Server (der den privaten Schlüssel verwaltet) und der Zertifizierungsstelle. Indem sie den öffentlichen Schlüssel und die hinterlegten Domain- und Organisationsinformationen enthält, ermöglicht sie der CA eine ordnungsgemäße Prüfung und das Ausstellen eines gültigen Zertifikats.

Wer ein SSL-/TLS-Zertifikat für www.meine-domain.de oder andere Domains benötigt, sollte daher sorgfältig und mit korrekten Angaben eine CSR erstellen. Dies beschleunigt den Prozess und vermeidet Verzögerungen oder kostenintensive Neuausstellungen bei fehlerhaften Angaben. Zudem legen Zertifizierungsstellen wie Sectigo, DigiCert oder GlobalSign großen Wert auf die Präzision und Vollständigkeit der angegebenen Informationen.

Zusammenfassung

Eine CSR (Certificate Signing Request) ist für die Beantragung eines SSL-/TLS-Zertifikats unabdingbar. Sie enthält alle wichtigen Informationen zu Domain, Organisation und dem öffentlichen Schlüssel. Das gezeigte Beispiel für www.meine-domain.de illustriert den typischen Ablauf mit OpenSSL, wobei man die Länderangabe, den Ort und den Namen des Besitzers integriert. Gerade bei der Eingabe in die CSR sind Sorgfalt und Genauigkeit gefragt: Nur so kann die Zertifizierungsstelle verlässlich prüfen, ob der Antragsteller berechtigt ist, ein Zertifikat für die betreffende Domain zu erhalten. Mit einer fehlerfrei erstellten CSR und einem sicheren Aufbewahrungsort für den privaten Schlüssel ist der Grundstein für eine erfolgreiche HTTPS-Verbindung gelegt.

Alle Angaben ohne Gewähr.

<-- CronjobCSS -->
Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.