Öffentlicher Schlüssel (Certificate Signing Request)

CSR (Certificate Signing Request) ist für die Ausstellung des Zertifikats aus dem Grund erforderlich, weil er Ihren öffentlichen Schlüssel für Ihr zukünftiges Zertifikat enthält.

Diesen öffentlichen Schlüssel wird Ihnen der Verwalter Ihrer Webseiten (Webhosting) oder direkt der Administrator des Servers erstellen, auf dem die Domain läuft, die Sie mit dem SSL-Zertifikat absichern möchten.

Anleitungen, wie der CSR auf den beliebtesten Webservern Apache und IIS erstellt werden kann, sind unten aufgeführt.

Anleitungen für weitere Server finden Sie auf dem Web der betreffenden Zertifizierungsstelle. Sie brauchen nur Ihre Plattform zu wählen: Thawte, Symantec (VeriSign), GeoTrust, RapidSSL.

Angaben für CSR request

Außer dem öffentlichen Schlüssel enthält der CSR request auch Angaben über den Antragsteller des Zertifikats. Diese müssen den Informationen über den Antragsteller aus der Bestellung genau entsprechen. Dem Serververwalter senden Sie die folgende ausgefüllte Schablone zu, anhand der er den CSR request erstellen kann.

Für die Erstellung von dem CSR benötigen Sie die folgende Angaben:

Common name: genauer Domainname (samt WWW, falls Sie es verwenden möchten)
Organization: Name des Unternehmens des Antragstellers (gleicher wie in der Bestellung)
Organizational unit: Abteilung, Zweck
City/locality: Stadt
State/province: Staat
Country/region: Landcode
Key Size: 2048 Bit

 

Beispiel der angegebenen Informationen:

Common name: www.test.de
Organization: A & B GmbH.
Organizational unit: Internet
City/locality: Muenchen
State/province: Germany
Country/region: DE
Key Size: 2048 Bit

Hinweis:Bei Domains der zweiten Ebene (z.B. zoner.at) werden beide Varianten des Domainnamens (sowohl zoner.at als auch www.zoner.at) automatisch mit abgesichert, unabhängig davon, für welche Variante Sie das Zertifikat bestellen. Bei Domains der dritten Ebene (z.B. shop.zoner.at) gilt diese Regel jedoch nicht mehr, Sie müssen nur eine Variante wählen und die genaue Schreibweise verwenden – soll mit dem Zertifikat shop.zoner.at versehen werden, oder www.shop.zoner.at?

Erstellung von CSR direkt im SSLmarket

Den CSR-Schlüssel können Sie direkt in der Verwaltung von SSLmarket erstellen. Diese Funktion wird Ihnen in dem Fall helfen, dass Sie zu dem Server keinen Zugang haben, den Serveradministrator nicht kontaktieren können, oder Ihr Gerät die Erstellung von CSR nicht unterstützt (NAS, Netzelemente).

Bei jedem Dialog für die Einfügung von CSR wird Ihnen neu die Option CSR erstellen angeboten:

Nachdem Sie den Button anklicken, wird der private und der CSR-Schlüssel erstellt und beide werden in zwei selbständigen Formularen angezeigt. Den privaten Schlüssel kopieren und speichern Sie für die nachfolgende Installierung des SSL-Zertifikats.

Der private Schlüssel wird bei uns natürlich nicht gespeichert, deshalb kann er auch nicht erneuert werden!Wählen Sie für ihn einen sicheren Speicherungsort, damit Sie ihn später auf den Server einspielen können. Der private Schlüssel ist tatsächlich privat und darf nicht in unbefugte Hände geraten. Er dient zur Dechiffrierung der mit dem Zertifikat verschlüsselten Daten und ohne ihn wird das Zertifikat auf dem Server nicht funktionieren.

Erstellung von CSR für Apache und nginx

Linux-Server nutzen für Verschlüsselung und Arbeit mit Schlüsseln OpenSSL-Bibliotheken. In diesen erstellen Sie auf einem Linux-Server den CSR request für Ihr Zertifikat, das von einem Apache- und nginx-Server verwendet wird. Nach einer erfolgreichen Anmeldung auf dem Server müssen Sie den CSR request – den öffentlichen Schlüssel – erstellen. Es handelt sich um eine Zertifikatsanforderung, die der Zertifizierungsstelle ur Verfügung gestellt werden muss: Sie brauchen die Anforderung nur in Ihr Bestellformular bei SSLmarket einzufügen. Den CSR erstellen Sie in OpenSSL. Um die Zertifikate übersichtlich speichern zu können, legen Sie einen Ordner mit Namen ssl im Hauptordner /etc an, und arbeiten auch weiterhin in diesem neuen Ordner.

mkdir /etc/ssl/test.de && cd /etc/ssl/test.de

Nun befinden Sie sich in dem neu angelegten Ordner. Mithilfe der folgenden Befehlszeile starten Sie OpenSSL und erstellen Sie einen privaten Schlüssel von 2048 Bit.

openssl genrsa -out test.de.key 2048

Der private Schlüssel dient zur Entschlüsselung der mit dem Zertifikat verschlüsselten Kommunikation und deshalb darf zu ihm eine unbefugte Person keinen Zugang erhalten. Den Zugang ermöglichen Sie nur dem Inhaber und als den Inhaber stellen Sie den Webserver ein, der mit dem privaten Schlüssel arbeiten wird.

chmod 600 test.de.key
chown www-data test.de.key

Den öffentlichen Schlüssel selbst erstellen Sie mithilfe der folgenden Befehlszeile:

openssl req -new -key test.de.key -out test.de.csr

Sie werden aufgefordert, die Angaben für den Schlüssel und das zukünftige Zertifikat einzutragen. Die wichtigsten Angaben stellen Common name dar – der Name der Domain, für die das Zertifikat ausgestellt werden soll, und Country – DE. Ohne diese Angaben kann das Zertifikat nicht beantragt werden. Falls Sie eine Testversion oder ein DV-Zertifikat bestellt haben, sind diese zwei Angaben ausreichend. Falls Sie aber ein Zertifikat bestellt haben, bei dem der Antragssteller validiert wird (OV- oder EV-Zertifikate), müssen Sie alle Angaben ausfüllen. Ihre Bedeutung beschreibt der Artikel Arbeit mit OpenSSL - CSR und Private key. Challenge password in dem letzten Schritt geben Sie nicht ein.

Den erstellten CSR müssen Sie in Ihre Bestellung kopieren. Öffnen Sie ihn in dem nano-Editor und kopieren Sie ihn:

root@server:/etc/ssl/test.de# nano test.de.csr

Mit der Abkürzung Ctrl+X kehren Sie in das Terminal zurück und den kopierten Text mit CSR fügen Sie in Ihre Bestellung des SSL-Zertifikats ein.

Erstellung von CSR für Windows-Server

Windows Server verwendet den Webserver IIS. Ab Version 7 bis Version 8.5 bleibt die Erstellung des CSR requests im Grunde dieselbe. Der Server wird im Leitfaden von Ihnen die in den CSR eingegebenen Angaben abfragen und dann die Textdatei zusammen mit dem Antrag auf das Zertifikat speichern.

Im folgenden Text ist für diesen Vorgang eine detaillierte Anleitung aufgeführt.

Zuerst melden Sie sich auf dem Server als Administrator an. Anschließend gehen Sie folgenden Pfad: Start, Verwaltung (Administrative Tools), Internetinformationsdienste-Manager (Internet Information Service Manager). Nun befindet sich in der linken Spalte der Name des Servers. Im nächsten Schritt klicken Sie auf den Server und der Menüpunkt Serverzertifikate (Server Certificates) erscheint.

Als Nächstes klicken Sie auf Serverzertifikate und dann auf Zertifikatsanforderung erstellen (Create Certificate Request). Nun erscheint ein Fenster, in dem Sie die erforderlichen Angaben für den CSR eintragen.

Verwaltung der SSL-Zertifikate

So füllen Sie die Felder im Fenster korrekt aus – siehe oben.

Die wichtigsten Angaben stellen Common name dar – der Name der Domain, für die das Zertifikat ausgestellt werden soll, und Country – DE. Ohne diese Angaben kann das Zertifikat nicht beantragt werden. Falls Sie eine Testversion oder ein DV-Zertifikat bestellt haben, sind diese zwei Angaben ausreichend. Falls Sie aber ein Zertifikat bestellt haben, bei dem der Antragssteller validiert wird (OV- oder EV-Zertifikate), müssen Sie alle Angaben ausfüllen.

Wenn alle notwendigen Felder ausgefüllt sind, klicken Sie auf Weiter um fortzufahren. Im nächsten Schritt werden die Einstellungen für die Verschlüsselung vorgenommen.

Eigenschaften für den definierten Domainnamen

Beim Kryptografiedienstanbieter belassen Sie den voreingestellten Anbieter Microsoft RSA SChannel Cryptographic Provider. Als Schlüssellänge ist 1024 voreingestellt. Wählen Sie hier 2048 als Bitlänge (Bit length). Dann klicken Sie Weiter.

Eigenschaften für Kryptografiedienstanbieter

Nun können Sie den Namen sowie den Speicherort für die CSR-Datei wählen. Als Format für die Datei geben Sie txt an. Klicken Sie auf Fertig Stellen.

Dateiname für die Zertifikatsanforderung

Öffnen Sie die CSR-Datei mit einem Texteditor (z.B. Notepad). Der Text des öffentlichen Schlüssels beginnt mit „BEGIN NEW CERTIFICATE REQUEST" und endet mit „END NEW CERTIFICATE REQUEST". Anschließend können Sie den öffentlichen Schlüssel Ihrer Bestellung hinzufügen.

CSR in SSLmarket einfügen

Den erstellten öffentlichen Schlüssel fügen Sie in die Schnittstelle der Verwaltung von dem bestellten SSL-Zertifikat ein – die Angaben für die Anmeldung haben Sie bereits erhalten. Kopieren Sie den gesamten Inhalt der Text-Datei, gehen Sie in die Details der Bestellung und bei Informationen zum öffentlichen Schlüssel wählen Sie Neuen Schlüssel eingeben aus. Achten Sie bitte darauf, dass unten SHA-2 ausgewählt ist.

Sofern der Schlüssel korrekt ist, wird in der Schnittstelle der Stand von N/A zu OK geändert. Den Inhalt und Richtigkeit von dem CSR können Sie mit dem folgenden Tool überprüfen: https://certlogik.com/decoder/. Das Zertifikat wird mit Ihrem CSR beantragt. Sobald die Validierung abgeschlossen wird, stellt die Zertifizierungsstelle Ihr Zertifikat aus und Sie erhalten es vom SSLmarket auf Ihre E-Mail-Adresse.

Falls Sie weitere Fragen haben, wenden Sie sich an unseren Kundenservice, der Ihnen gerne jede Frage beantwortet.