So erstellen und senden Sie eine CSR für SSL/TLS-Zertifikate

Digitale Zertifikate sind ein Muss, um die Sicherheit der Online-Kommunikation und -Daten zu gewährleisten. Insbesondere SSL/TLS-Zertifikate fördern das Vertrauen der Benutzer, da sie Websites sichern und dafür sorgen, dass die Daten der Benutzer – wie z. B. persönliche oder finanzielle Informationen – geschützt sind.

Der Wert von SSL-Zertifikaten in der heutigen, von Bedrohungen geprägten digitalen Landschaft ist unbestreitbar, aber der Prozess, eines zu erhalten – und insbesondere das richtige für Ihre geschäftlichen Anforderungen – kann manchmal verwirrend oder geradezu frustrierend sein. Dies ist zum Teil auf die schiere Menge an Daten zurückzuführen, die häufig im Ausstellungsprozess erforderlich sind, insbesondere bei der Navigation durch den kompliziertesten und wichtigsten Aspekt der Erlangung eines digitalen Zertifikats: die Einreichung der Zertifikatsignierungsanforderung (Certificate Signing Request, CSR).

Sobald Sie verstanden haben, wie CSRs funktionieren und warum sie wichtig sind, wird es viel einfacher sein, den Antragsprozess zu durchlaufen. Um Ihnen dabei zu helfen, erklären wir Ihnen alles, was Sie über CSRs wissen müssen: Was sie sind, warum sie wichtig sind und wie Sie sie einreichen, damit Sie ein SSL/TLS-Zertifikat erhalten können.

Was ist eine Zertifikatsignierungsanforderung CSR?

Eine Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) ist eine verschlüsselte Nachricht, die wichtige Informationen über die Person oder Organisation enthält, die ein digitales Zertifikat erhalten möchte. Sie stellt eine standardisierte Lösung für die Übermittlung öffentlicher Schlüssel an Zertifizierungsstellen (Certificate Authorities, CAs) über eine verschlüsselte Datei dar.

Eine CSR ist eine wichtige Komponente der Public-Key-Infrastruktur (PKI) und stellt im Wesentlichen den ersten Schritt bei der Beantragung von SSL/TLS-Zertifikaten dar.

Welche Anforderungen gibt es?

Jeder CSR sollte einige Schlüsselelemente enthalten, die den Antragsteller identifizieren sollen:

• Der allgemeine Name (CN) der Organisation. Konkret handelt es sich hierbei um den vollständig qualifizierten Domainnamen (FQDN) oder den absoluten Domainnamen. Dadurch wird der genaue Standort innerhalb des Domain Name System (DNS) angezeigt. Dies muss genau mit dem übereinstimmen, was Sie in Ihrem Webbrowser eingeben, da sonst ein Sicherheitsfehler auftreten kann.
• Der Organisationsname (O). Nicht zu verwechseln mit dem allgemeinen Namen oder FQDN, bezieht sich der Organisationsname einfach auf den rechtlichen Namen oder offiziellen Titel des betreffenden Unternehmens. Falls relevant, sollte dies Unternehmenskennungen enthalten. Bei einer CSR sollte der Organisationsname niemals abgekürzt werden.
• Organisationseinheit (OU). Die Einheit oder Abteilung des Unternehmens/der Organisation, die das Zertifikat verwaltet.
• Ort (L). Die CSR sollte Angaben zum Ort enthalten, d. h. die Stadt, in der Sie sich befinden.
• Bundesland oder Provinz (ST). Das Bundesland oder die Provinz, in dem/der Sie ansässig sind.
• Land (C). Das Land, in dem Sie ansässig sind.
• E-Mail-Adresse. Eine mit dem Unternehmen verbundene E-Mail-Adresse.

Zusätzlich zu den Namen der Organisation und den Standortdetails enthält jeder CSR einen öffentlichen Schlüssel, der als eine Hälfte des für SSL-Zertifikate erforderlichen Schlüsselpaars fungiert. Der eigentliche Prozess der Erstellung eines CSR führt zur Erstellung dieses öffentlichen Schlüssels. Dieser wird in den CSR aufgenommen.

Während dieses Vorgangs wird auch ein privater Schlüssel erstellt. Dieser sollte im Gegensatz zum öffentlichen Schlüssel nicht in der CSR enthalten sein oder der Zertifizierungsstelle zur Verfügung gestellt werden. Stattdessen sollte er bis zu einem späteren Zeitpunkt im Prozess aufbewahrt werden, wenn er für die tatsächliche Installation des SSL-Zertifikats benötigt wird.

Details über Schlüsseltyp und -länge spielen ebenfalls eine Rolle bei der CSR. Zu den wichtigsten Schlüsseltypen gehören RSA und DSA, die beide unterschiedliche Vor- und Nachteile aufweisen. Während RSA (Rivest–Shamir–Adleman) in der Regel für eine schnelle Verifizierung und Verschlüsselung bevorzugt wird, ersetzt DSA (Digital Signature Algorithm) die Primfaktorzerlegung von RSA durch das Problem des diskreten Logarithmus. DSA ist die effizientere Option für die Verifizierung und Entschlüsselung. Wenn Sie sich für RSA entscheiden, wird eine Bitlänge von 2048 bevorzugt. Das CA/Browser Forum definiert die aktuellen grundlegenden Anforderungen für unterstützte Schlüsselgrößen.

CSR-Beispiel

CSR-Dateien werden in der Regel mit Texteditoren geöffnet. Sie enthalten Kopf- und Fußzeilen, die angeben, wann die Anfrage beginnt und endet. Der aktuelle Goldstandard ist ein Base-64-basiertes PEM-Format (Privacy Enhanced Mail). Dieses Format wird als Binär-zu-Text-Kodierungsschema eingestuft und gilt weithin als das De-facto-Format für die Übermittlung kryptografischer Schlüssel.

Nachfolgend finden Sie ein detailliertes Beispiel dafür, was Sie visuell sehen könnten, wenn Sie eine CSR einreichen:

-----ANFANG ZERTIFIKATSANFORDERUNG-----
MIIDGDCCAgACAQAwgakxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRYwFAYDVQQKEw1Hb29nbGUsIEluYy4g
MRcwFQYDVQQLEw5JVCBEZXB0YXJ0bWVudDEXMBUGA1UEAxMOd3d3Lmdvb2dsZS5j
b20xIzAhBgkqhkiG9w0BCQEWFHdlYm1hc3RlckBnb29nbGUuY29tMIIBIjANBgkq
hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq3NT5DBBDql5gTB4/6Zsq/C1iwO4yBD2
nThaNfO1qHKUjnFz0oua+54x97TjmHItRH5H+jPJvmzzb4TUJ274CRFhquOOMZVM
dVIG9FUjogJstMqv4GtBC4C/ype0ilAcPEBjRi9bFiR/g43qPCnlRAJNo4cJko7n
W7erAJsRPNiQMr5UJN9h3GuQMPw6uaI/0OWuWjSTLzEBMujHhPySgZIv1SurVXDz
iFC6S6qvc9XQ1z6tkmrttdoOfDI+eT75QxysHmctgAvkZaFEoRASqcqf3iYyl9Qw
mh0xuLSoR9HTvaD9DhxAIa4/1+l6D9MGb/01+lip7AjqdnTTzSBfcQIDAQABoCkw
JwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG
9w0BAQsFAAOCAQEAZyMkFtElkS3vQoCPVHevrFcPgrx/Fqx0UdQdnf2RyoJ3jqiU
yPo5+5BHA9kY0TuJLhgMIq0QWAbzZYNL0+J8UUcx8EvMK6DqPpKteyYFCMw6GEzu
diq4RE/8Ea9UpGbw8GH1oEsUksBTwrs06OSOVgDXkJ1XY4VaRkMPflgQWGULgKYO
2P/zcFowENruGLJO7ynyUkm5idKdYzDqk7c7bqyLywOEPxSRKVyblmzqiFCOlCqp
HozZ9+5TmrMPD/hO1uHVECcL08RMGXoGMajojI8CE+cmkaWLq3PZt08Sv0F/Itop
O8XAZ2bYTK4HQfPm+Fud22SD+DkSwt8vN8Lu2g==
-----ENDE DER ZERTIFIKATSANFORDERUNG-----

Die Navigation durch diese dichten, textbasierten Daten kann schwierig sein, daher bieten wir Zugang zu einem hilfreichen CSR-Decoder-Tool. Mit diesem können Sie ganz einfach überprüfen, ob die im CSR enthaltenen Details (wie der oben genannte Standort oder der Name der Organisation) korrekt sind.

Bedeutung von Zertifikatsignierungsanfragen (Certificate Signing Requests, CSRs)

Die CSR stellt einen der frühesten und wichtigsten Schritte im Prozess der Erlangung eines SSL/TLS-Zertifikats dar. Die in der CSR enthaltenen Informationen ermöglichen es der Zertifizierungsstelle, die angeforderten Zertifikate zu erstellen.

In vielerlei Hinsicht beruht die Rolle des CSR auf Vertrauen: Durch die Förderung und Offenlegung der Authentizität von Websites schafft diese Ressource eine dringend benötigte Vertrauensbasis zwischen zwei Parteien, der Zertifizierungsstelle und der Organisation, die das SSL-Zertifikat anfordert. Zertifizierungsstellen erhalten die Befugnis und Verantwortung zur Überprüfung, und sie nehmen diese Autorität nicht auf die leichte Schulter. Durch CSRs können Zertifizierungsstellen das kollektive Vertrauen in die PKI fördern.

Aus praktischer Sicht sind CSRs von Bedeutung, da es ohne sie nahezu unmöglich ist, dringend benötigte SSL/TLS-Zertifikate von vertrauenswürdigen Zertifizierungsstellen zu erhalten. Diese Zertifikate sind für die Vertrauensbildung bei Kunden von entscheidender Bedeutung, die sicher sein wollen, dass ihre Informationen sicher übertragen werden. Die Zertifikatsignierungsanforderung bildet die Grundlage für diese vertrauensvolle Beziehung.

Wie man eine CSR auf verschiedenen Plattformen generiert

Nachdem Sie nun den Wert einer CSR verstanden haben, ist es an der Zeit, den nächsten Schritt zu tun: die offizielle Anfrage tatsächlich zu erstellen und einzureichen. Dies kann zum Teil kompliziert sein, da die Generierung des CSR-Codes von Plattform zu Plattform etwas unterschiedlich aussehen kann. Jede Plattform bringt unterschiedliche Vorteile und Herausforderungen mit sich, aber wir haben nachfolgend einige der gängigsten Lösungen hervorgehoben:

OpenSSL

OpenSSL – ein Open-Source-Befehlszeilenprogramm – bietet einen allgemeinen Rahmen für die Suche nach CSRs. Es ist nicht nur wegen seines Open-Source-Status attraktiv, sondern auch wegen seiner relativ einfachen Handhabung. Es wird häufig zur Erstellung von CSRs über Nginx- und Apache-Webhosting-Umgebungen verwendet. Diese Strategie ist auch für die Erstellung von ECC CSRs (Elliptic Curve Cryptography Certificate Signing Requests) von besonderem Wert.

Bei dem häufig bevorzugten OpenSSL-Ansatz sieht der erforderliche Befehl wie folgt aus:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Sobald Sie dazu aufgefordert werden, können Sie die oben genannten CSR-Details wie den Standort und den FQDN eingeben. Ein Passcode ist nicht erforderlich, kann aber eine wertvolle Option zur Erhöhung der Sicherheit sein.

IIS-Manager

Ein weiterer gängiger Ansatz ist Microsofts Internet Information Services (IIS) Manager. Rufen Sie im IIS Manager die Seite „Verbindungen“ auf, gehen Sie zum Menü „Serverzertifikate“ und dann zur Seite „Aktionen“.

Von dort aus finden Sie auf der Seite „Eigenschaften des Distinguished Name“ ein Tool zum Anfordern eines Zertifikats, über das der FQDN und andere wichtige Informationen übermittelt werden können. Vergessen Sie nicht, die Bitlänge und den kryptografischen Anbieter anzugeben.

Weitere Optionen

Einige Organisationen geben an, dass sie es bevorzugen, mit bestimmten Plattformen zu arbeiten, um CSRs zu generieren. Unabhängig davon, welche Plattform gewünscht wird, stehen wir Ihnen bei jedem Schritt gerne mit Rat und Tat zur Seite. Zu den alternativen Optionen, für die wir Generierungsdetails bereitstellen, gehören:

• Cpanel
• NGINX
• Microsoft IIS
• Plesk
• Webstar
• Java-basierte Webserver mit OpenSSL
• SonicWALL Offloader
• Google App Engine

Häufige Herausforderungen und Tipps

Die größte Herausforderung bei der Erstellung eines CSR besteht häufig darin, die eigentliche Anfrage zu lesen und zu verstehen, wenn sie im empfohlenen PEM-Format vorliegt. Weitere häufige Probleme sind:

• Ungenaue Namensinformationen. Bei der Erstellung und Einreichung eines CSR ist es wichtig, auf Details zu achten. Dies gilt insbesondere für die Benennung von Details, einschließlich des FQDN und des offiziellen Namens des betreffenden Unternehmens. Daher ist ein Decoder erforderlich, um sicherzustellen, dass die Namen korrekt angegeben werden.
• Wir suchen nach Multi-Domain-SSL-Zertifikaten. Die Erstellung von CSRs muss nicht unbedingt Kopfschmerzen bereiten, wenn Sie mehrere Domains sichern möchten. Im Zweifelsfall können OpenSSL-Konfigurationsdateien so angepasst werden, dass sie Alt- oder SAN-Namen enthalten. Wie immer variieren die Anforderungen je nach Art des Zertifikats und gewünschtem Validierungsgrad.
• Testen und Dekodieren des CSR. Um sicherzustellen, dass der CSR an die gewünschte Zertifizierungsstelle gesendet werden kann, verwenden Sie ein Decoder-Tool, um zu überprüfen, ob er korrekt formatiert ist. Sectigo bietet kostenlosen Zugang zu einem CSR-Decoder, sodass Sie Ihre CSR unbesorgt einreichen und einen der wichtigsten Schritte zur Erlangung von SSL/TLS-Zertifikaten unternehmen können

Sichern Sie Ihre Website mit Sectigo

Nachdem Sie nun mit dem CSR-Prozess vertraut sind, ist es an der Zeit zu bestimmen, welche Zertifikate Sie zum Schutz Ihrer Website verwenden werden. Bei Sectigo bieten wir einen unkomplizierten CSR-Prozess sowie eine Vielzahl von Optionen für den Erhalt und die Verwaltung digitaler Zertifikate. Unsere Lösungen für das Zertifikatslebenszyklus-Management optimieren den Prozess, sodass Sie Identitäten in großem Umfang sicher schützen können.

Wir empfehlen außerdem, unsere Ressource zu den verschiedenen Arten von SSL-Zertifikaten zu lesen, damit Sie das richtige Zertifikat für Ihre Bedürfnisse finden können. Zögern Sie nicht, sich mit uns in Verbindung zu setzen, wenn Sie mehr über CSRs und ihre Rolle bei der Erlangung von SSL-Zertifikaten erfahren möchten.

Verwandte Beiträge:

• Was ist PKI? Definition und Leitfaden zur Public-Key-Infrastruktur
• Was sind die Unterschiede zwischen RSA-, DSA- und ECC-Verschlüsselungsalgorithmen?
• Microsoft’s Internet Information Services (IIS) Manager