Erstellung des CSR ist jetzt noch einfacher

09.06.2017 | Petra Alm

Unseren Kunden bieten wir nun die Möglichkeit an, die CSR-Anforderung (CSR-Request) und den privaten Schlüssel direkt in ihrer Bestellung zu erstellen. Diese Funktion wird Ihnen in den Fällen nützlich sein, in welchen Sie zu Ihrem Server keinen Zugriff haben oder auf ihm den CSR-Schlüssel nicht generieren können. Ein häufiges Hindernis auf dem Weg zu dem Zertifikat wird somit beseitigt.

Erstellung vom CSR direkt im SSLmarket

Kunden von SSLmarket können den CSR-Schlüssel direkt im Detail der konkreten SSL-Zertifikasbestellung generieren und müssen sich somit nicht an ihren Serveradministrator oder ihr Hosting wenden. Die CSR-Anforderung kann außerdem auch für ein Gerät benötigt werden, welches ihre Erstellung nicht ermöglicht – die Funktion würden wir zum Beispiel bei NAS oder Netzwerkspeichern nur vergeblich suchen. In diesen Fällen müssen Sie nicht mehr darüber nachdenken, wie Sie den CSR-Code generieren sollen. Sie brauchen nur den in der Verwaltung von SSLmarket generierten privaten Schlüssel zu speichern und auf ihn bei der nachfolgenden Installierung des ausgestellten Zertifikats zurückgreifen.

Die Funktion der Erstellung vom CSR direkt bei SSLmarket finden Sie dort, wo Sie den Schlüssel bisher nur einfügen konnten. Neben dem Button CSR einfügen können Sie auch auf CSR Erstellen klicken und der Dialog wird mit einer neuen Anforderung ausgefüllt. Die Angaben werden den Details der Bestellung entsprechen.

Nachdem der CSR erstellt wurde und Ihnen in dem Dialog angezeigt wird, müssen Sie den entsprechenden privaten Schlüssel (das obere Feld) kopieren und speichern. SSLmarket bewahrt den privaten Schlüssel selbstverständlich nicht auf und falls Sie ihn selbst nicht speichern, werden Sie das Zertifikat nicht einsetzen können. Der private Schlüssel wird Ihnen in Textform angezeigt (Base64) und kann als einfacher Text gespeichert werden, die Dateiendung ist für den Webserver nicht wichtig.

Erstellung des CSR auf dem Server

Üblicherweise wird der CSR dank einer direkt auf dem Server erstellten Zertifikatsanforderung erworben, mittels Tools, die in dem Operationssystem des Servers voreingestellt sind. Allgemein gesagt können wir davon ausgehen, dass falls der Server mit SSL und TLS arbeiten kann, wird er auch den CSR-Schlüssel erstellen können.

CSR auf Apache und anderen Servern mit OpenSSL erstellen

Der Webserver Apache wird fast immer in Kombination mit dem Linuxserver verwendet, nur in Ausnahmefällen auf Windows. Dank dem Modul mod_ssl für das SSL/TLS Protokoll kann Apache die Bibliothek OpenSSL nutzen. In dieser können der private Schlüssel des zukünftigen Zertifikats und der CSR-Code erstellt werden. Apache ist aber nicht der einzige Webserver, der sich auf OpenSSL verlässt. Ein weiterer beliebter Server ist nginx, der mit dieser Bibliothek ebenfalls arbeiten kann.

In OpenSSL kann die CSR-Anforderung ganz einfach erstellt werden – mittels der Befehlszeile req. Eine detaillierte Vorgehensweise finden Sie in unserem Artikel Öffentlicher Schlüssel (Certificate Signing Request). Nachdem die von OpenSSL erforderten Angaben eingegeben wurden, wird in dem gewählten Speicherort der CSR-Schlüssel als eine Datei mit der Endung CSR erstellt. Den Inhalt von dieser Datei, den Text, fügen Sie in der Verwaltung von SSLmarket einfach in Ihre Bestellung ein.

Auf Ihrem Webserver können Sie auch auf eine andere Bibliothek als OpenSSL zugreifen. Ein Beispiel der alternativen Bibliotheken stellen zum Beispiel die von Google stammenden Projekte LibreSSL oder BoringSSL dar. Vor der Wahl dieser Alternativlösungen sollten Sie sich jedoch von ihrer Unterstützung vonseiten des Webservers überzeugen.

Erstellung des CSR in IIS (auf Windows Server)

Der Server von Microsoft arbeitet mit dem Webserver IIS und seit der Version 7 sieht dieser fast gleich aus. Die neuen Versionen verbessert der Hersteller um Funktionen wie SNI oder das Protokoll HTTP/2, aber die Vorgehensweisen ändern sich praktisch nicht.

Der Webserver IIS enthält einen Leitfaden für die Erstellung der Zertifikatsanforderung. Dieser generiert und speichert den CSR-Code nachdem die Angaben über den Inhaber des zukünftigen Zertifikats ausgefüllt wurden. Die bekannte „Fangfrage“ besteht darin, dass jedes Mal eine neue Zertifikatsanforderung erstellt werden muss. IIS bietet zwar die Option der Verlängerung (Neuausstellung) des Zertifikats an, aber der von diesem Dialog stammende Schlüssel lässt sich nicht verwenden – die erstellte Anforderung wird nämlich nicht in dem richtigen Format PKCS#10 geliefert, sondern in PKCS#7. Deshalb ist es nötig, jeweils eine neue Zertifikatsanforderung zu erstellen.

Einen CSR in IIS zu generieren ist einfach, aber trotzdem haben wir für Sie eine detaillierte Anleitung vorbereitet.

CSR manuell erstellen

Die Zertifikatsanforderung können wir natürlich auch manuell erstellen. In solchem Fall ist es egal, ob Sie von einem existierenden privaten Schlüssel ausgehen, oder einen neuen generieren. Wir empfehlen Ihnen aber, den privaten Schlüssel zu wechseln, wie zum Beispiel bei der Erneuerung des Zertifikats.

Usern von Linux und von den Unix-Systemen kann zur Erstellung vom CSR das Programm OpenSSL dienen – siehe Absatz CSR auf Apache oben. Den Nutzern von Windows empfehlen wir ein Tool mit GUI, z.B. ein OpenSource Programm XCA für die Verwaltung von Zertifikaten und Schlüsseln.

Wie Sie oben sehen können, gibt es mehrere Methoden, wie der CSR-Code erworben werden kann. Sie müssen sich somit nicht fürchten, dass die Erwerbung des Zertifikats kompliziert ist. Sollten Sie trotzdem auf ein Problem stoßen, hilft Ihnen unser Kundensupport gerne weiter.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de