Was ist ein CSR und wie wird er erstellt?

Ein CSR (Certificate Signing Request), zu Deutsch Anforderung auf Ausstellung eines Zertifikats, ist eine verschlüsselte und speziell formatierte Nachricht, die von einem Antragsteller für ein SSL-Zertifikat an die entsprechende Zertifizierungsstelle (CA = Certificate Authority) gesendet werden muss, um die Daten zu bestätigen, die für eine Zertifikats-Ausstellung erforderlich sind.

 

Funktion eines CSR

Damit der Austausch dieser Informationen gesichert und verifiziert erfolgt, erfolgt dieser mittels des PKI-Systems (Public Key Infrastructure).

So muss vor der Aktivierung des Zertifikats der Antragsteller zunächst ein Schlüsselpaar, bestehend aus RSA Private Key und Public Key generieren.

Mittels des Privaten Schlüssels (Private Key) können verschlüsselte Daten entschlüsselt sowie digitale Signaturen erstellt werden.

Der öffentliche Schlüssel (Public Key) dient dazu, die Daten zu verschlüsseln und Signaturen zu verifizieren.

Das Erstellen eines solchen Schlüsselpaares erfolgt je nach System unterschiedlich und sollte durch den entsprechenden Administrator geschehen.

 

Erstellung eines CSR

Sowohl Schlüsselpaar als auch CSR müssen auf dem Server/System erstellt werden, auf dem das beantragte SSL-Zertifikat genutzt werden soll.

Ein CSR beinhaltet alle Daten, die die CA für die Ausstellung eines Zertifikats voraussetzt:

Information Beschreibung Beispiel
Common Name Domainname/Host (FQDN) für den die Zertifizierung erfolgen soll

 

meinedomain.de

www.meinedomain.de

*.meinedomain.de

Organization / Business Name Name Ihres Unternehmens Meinefirma AG
Country Land des Firmensitzen in Form des zweistelligen Länder-Codes DE

US

Sate & Country / Region Bundesland oder Region des Firmensitzes Bayern

Washington State

 

City / Town Ort/Stadt des Firmensitzes Starnberg

Olympia

Email Address Kontakt-E-Mail-Adresse der Firma bzw. zuständigen Abteilung admin@meinedomain.de

certificate@meinedomain.de

 

Ein fertiger CSR sieht beispielsweise wie folgt aus:

—–BEGIN CERTIFICATE REQUEST—–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—–END CERTIFICATE REQUEST—–

 

Wie ein CSR generiert wird, ist je nach erstellendem System unterschiedlich. Wichtig ist jedoch, dass dieser stets mittels eines RSA-Schlüssels mit einer Länge von 2048 Bit generiert wird.

Auch online finden sich diverse Seiten mit CSR-Generatoren. Da die Generierung jedoch anhand Ihres privaten Schlüssels erfolgen muss, stellt dies nicht selten ein erhebliches Sicherheitsrisiko dar.

Wir empfehlen daher, den CSR direkt auf dem System, für welches das Zertifikat beantragt wird, durch dessen Administrator generieren zu lassen.