Was ist eine CSR und wie erstellt man eine? Eine vollständige Schritt-für-Schritt-Anleitung

Die Absicherung Ihrer Website mit HTTPS ist keine Option mehr – sie ist eine grundlegende Voraussetzung für das Vertrauen der Nutzer, den Datenschutz und das Suchmaschinen-Ranking. Im Mittelpunkt jeder SSL/TLS-Zertifikatsausstellung steht eine kritische, aber oft missverstandene Komponente: der Certificate Signing Request (CSR). Ob Sie Entwickler, Systemadministrator oder Website-Betreiber sind – wenn Sie verstehen, wie man einen CSR korrekt generiert und einreicht, können Sie stundenlange Fehlersuche vermeiden und sicherstellen, dass Ihre Website ordnungsgemäß gesichert ist.

In diesem umfassenden Leitfaden erklären wir genau, was ein CSR ist, warum er wichtig ist, und führen Sie durch mehrere Methoden zur Erstellung – darunter OpenSSL, cPanel und IIS.

Was ist ein CSR (Certificate Signing Request)?

Ein Certificate Signing Request (CSR) ist ein Block Base64-kodierten Textes, den Sie auf Ihrem Server generieren und bei einer Certificate Authority (CA) – wie Let’s Encrypt, DigiCert oder Sectigo – einreichen, wenn Sie ein SSL-Zertifikat beantragen. Die CA liest die im CSR enthaltenen Informationen und verwendet sie, um ein digital signiertes Zertifikat auszustellen, das HTTPS auf Ihrer Domain ermöglicht.

Stellen Sie sich einen CSR als formelles Antragsformular vor: Er teilt der CA mit, wer Sie sind, welche Domain Sie absichern möchten, und stellt den kryptografischen öffentlichen Schlüssel bereit, der in das endgültige Zertifikat eingebettet wird.

Welche Informationen enthält ein CSR?

Ein Standard-CSR enthält die folgenden Felder:

> Wichtig: Ein CSR enthält nicht Ihren privaten Schlüssel. Der private Schlüssel wird zusammen mit dem CSR generiert, muss aber stets sicher auf Ihrem Server gespeichert bleiben und darf niemals mit jemandem geteilt werden – auch nicht mit der CA.

Warum ist ein CSR wichtig?

Das Verständnis der Rolle eines CSR verdeutlicht, warum jede SSL-Zertifikatsausstellung mit diesem Schritt beginnt.

1. Er initiiert die SSL-Zertifikatsanforderung

Ohne einen CSR hat eine CA keine Möglichkeit zu wissen, welche Domain Sie absichern möchten, wer sie besitzt oder welchen öffentlichen Schlüssel sie in das Zertifikat einbetten soll. Der CSR ist der formelle Mechanismus, der den gesamten Zertifikatsausstellungsprozess einleitet.

2. Er legt die kryptografische Grundlage

Der CSR enthält Ihren öffentlichen Schlüssel, der mathematisch mit Ihrem privaten Schlüssel gepaart ist. Zusammen bilden diese Schlüssel das asymmetrische Verschlüsselungsfundament von SSL/TLS. Wenn ein Browser eine Verbindung zu Ihrem Server herstellt, verwendet er den öffentlichen Schlüssel (aus dem Zertifikat) zur Datenverschlüsselung, und Ihr Server verwendet den privaten Schlüssel zur Entschlüsselung – so wird sichergestellt, dass keine dritte Partei die Kommunikation abfangen kann.

3. Er ermöglicht die Identitätsvalidierung

Je nach Art des beantragten SSL-Zertifikats führt die CA anhand der Informationen in Ihrem CSR unterschiedliche Stufen der Identitätsverifizierung durch:

• Domain Validation (DV): Die CA überprüft nur, dass Sie die Domain kontrollieren. Schnell und automatisiert.
• Organization Validation (OV): Die CA überprüft zusätzlich zur Domain-Kontrolle die rechtliche Existenz Ihrer Organisation.
• Extended Validation (EV): Die strengste Prüfung – die CA verifiziert rechtliche Identität, physische Adresse und Betriebsstatus.

Wenn Sie eine Unternehmenswebsite oder eine E-Commerce-Plattform betreiben, ist die Wahl der richtigen Validierungsstufe wichtig. Sie können AlexHosts Auswahl an SSL-Zertifikaten erkunden, um die Option zu finden, die Ihren Sicherheitsanforderungen am besten entspricht.

So erstellen Sie einen CSR: Schritt-für-Schritt-Anleitung

Die Erstellung eines CSR umfasst zwei Hauptschritte: die Generierung eines privaten Schlüssels und die anschließende Verwendung dieses Schlüssels zur Erstellung der CSR-Datei. Im Folgenden werden die gängigsten Methoden beschrieben.

Methode 1: Mit OpenSSL (Linux, macOS, Windows)

OpenSSL ist das am weitesten verbreitete und universell verfügbare Tool zur Generierung von CSRs. Es funktioniert auf Linux-Servern, macOS und Windows (mit installiertem OpenSSL).

#### Schritt 1: Privaten Schlüssel generieren

Öffnen Sie Ihr Terminal (oder die Eingabeaufforderung unter Windows) und führen Sie den folgenden Befehl aus:

openssl genrsa -out private.key 2048

Was dieser Befehl bewirkt:

genrsa — generiert einen RSA-privaten Schlüssel
-out private.key — speichert den Schlüssel in einer Datei namens private.key

> Sicherheitshinweis: Speichern Sie private.key in einem sicheren, zugriffsbeschränkten Verzeichnis. Laden Sie ihn niemals an einen öffentlichen Speicherort hoch und teilen Sie ihn nicht per E-Mail.

#### Schritt 2: Den CSR generieren

Nachdem Ihr privater Schlüssel erstellt wurde, führen Sie den folgenden Befehl aus, um den CSR zu generieren:

openssl req -new -key private.key -out yourdomain.csr

OpenSSL fordert Sie auf, die CSR-Felder interaktiv auszufüllen:

Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: California
Locality Name (eg, city) []: San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Corp Ltd
Organizational Unit Name (eg, section) []: IT Department
Common Name (e.g. server FQDN or YOUR name) []: www.example.com
Email Address []: admin@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

> Profi-Tipp: Lassen Sie das Feld „challenge password” leer, sofern Ihre CA es nicht ausdrücklich verlangt. Es fügt in den meisten modernen Workflows Komplexität hinzu, ohne einen nennenswerten Sicherheitsvorteil zu bieten.

Nach Abschluss wird Ihr CSR in yourdomain.csr gespeichert. Sie können den Inhalt anzeigen mit:

openssl req -text -noout -verify -in yourdomain.csr

#### Schritt 3: Schlüssel und CSR in einem einzigen Befehl generieren

Der Effizienz halber können Sie Schritt 1 und 2 in einem Befehl zusammenfassen:

openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out yourdomain.csr

Dadurch werden der private Schlüssel und der CSR gleichzeitig generiert, wobei Sie nach denselben Feldinformationen gefragt werden.

#### Schritt 4: Den CSR bei Ihrer Certificate Authority einreichen

Öffnen Sie die Datei yourdomain.csr in einem Texteditor und kopieren Sie den gesamten Inhalt – einschließlich der Zeilen -----BEGIN CERTIFICATE REQUEST----- und -----END CERTIFICATE REQUEST-----. Fügen Sie diesen in das Einreichungsformular Ihrer CA ein, wenn Sie Ihr SSL-Zertifikat kaufen oder erneuern.

#### Schritt 5: Ihren privaten Schlüssel sichern

Stellen Sie nach dem Empfang und der Installation Ihres SSL-Zertifikats sicher, dass private.key:

• Mit eingeschränkten Dateiberechtigungen gespeichert wird (chmod 600 private.key unter Linux)
• An einem sicheren, verschlüsselten Ort gesichert ist
• Niemals über unsichere Kanäle übertragen wird

Wenn der private Schlüssel verloren geht oder kompromittiert wird, müssen Sie ein neues Schlüsselpaar generieren, einen neuen CSR erstellen und eine erneute Zertifikatsausstellung beantragen.

Methode 2: Mit cPanel (Shared Hosting & VPS)

Wenn Ihre Hosting-Umgebung cPanel verwendet, können Sie einen CSR direkt über die grafische Oberfläche generieren – ohne Kenntnisse der Befehlszeile. Dies ist ideal für Nutzer von Shared Web Hosting oder einem VPS mit cPanel.

Schritte:

1. Melden Sie sich in Ihrem cPanel-Konto an.
2. Navigieren Sie zum Bereich Sicherheit und klicken Sie auf SSL/TLS.
3. Klicken Sie unter Certificate Signing Requests (CSR) auf „SSL-Zertifikatsanforderungen generieren, anzeigen oder löschen.”
4. Füllen Sie die CSR-Formularfelder aus:

• Schlüsselgröße: Wählen Sie 2048 (empfohlen) oder 4096 Bits
• Domains: Geben Sie Ihren FQDN ein (z. B. www.example.com)
• Stadt, Bundesland, Land: Standortangaben Ihrer Organisation
• Unternehmen & Abteilung: Rechtlicher Organisationsname und Abteilung
• E-Mail: Kontakt-E-Mail-Adresse

1. Klicken Sie auf Generieren.
2. cPanel zeigt Ihren CSR an. Kopieren Sie den vollständigen Text und reichen Sie ihn bei Ihrer CA ein.

> cPanel speichert Ihren privaten Schlüssel auch automatisch und verknüpft ihn mit dem CSR, was den späteren Schritt der Zertifikatsinstallation vereinfacht.

Methode 3: Mit IIS auf Windows Server

Für Administratoren, die Websites auf Windows Server mit Internet Information Services (IIS) verwalten, bietet der IIS Manager einen integrierten CSR-Generierungsassistenten.

Schritte:

1. Öffnen Sie den IIS Manager (inetmgr).
2. Wählen Sie im Verbindungen-Panel auf der linken Seite Ihren Servernamen aus (nicht eine bestimmte Website).
3. Doppelklicken Sie im mittleren Panel auf Serverzertifikate.
4. Klicken Sie im Aktionen-Panel auf der rechten Seite auf Zertifikatsanforderung erstellen…
5. Füllen Sie die Distinguished Name-Eigenschaften aus:

• Common Name, Organisation, Organisationseinheit, Stadt, Bundesland, Land

1. Klicken Sie auf Weiter.
2. Auf der Seite Kryptografiedienstanbieter-Eigenschaften:

• Kryptografiedienstanbieter: Microsoft RSA SChannel Cryptographic Provider
• Bitlänge: 2048 (Minimum) oder 4096

1. Klicken Sie auf Weiter, wählen Sie einen Dateipfad zum Speichern des CSR und klicken Sie auf Fertig stellen.
2. Öffnen Sie die gespeicherte .txt-Datei, kopieren Sie den Inhalt und reichen Sie ihn bei Ihrer CA ein.

> Hinweis: IIS speichert den ausstehenden privaten Schlüssel intern. Löschen Sie die ausstehende Anforderung nicht aus dem IIS Manager, bis Sie das ausgestellte Zertifikat erfolgreich installiert haben.

CSR-Generierung: Schnellvergleich der Methoden

Häufige CSR-Fehler, die Sie vermeiden sollten

Selbst erfahrene Administratoren machen gelegentlich Fehler bei der Generierung von CSRs. Hier sind die häufigsten Fallstricke:

1. Verwendung eines falschen Common Name: Der CN muss genau mit der Domain übereinstimmen, die Sie absichern möchten. Verwenden Sie für ein Wildcard-Zertifikat *.example.com. Bei einem Multi-Domain-Zertifikat (SAN) verwaltet die Oberfläche Ihrer CA zusätzliche Domains separat.

1. Abkürzung des Felds Bundesland/Provinz: Schreiben Sie immer den vollständigen Namen aus (z. B. „California”, nicht „CA”). Einige CAs lehnen abgekürzte Einträge ab.

1. Verlust des privaten Schlüssels: CSR und privater Schlüssel sind ein zusammengehöriges Paar. Wenn Sie den privaten Schlüssel verlieren, bevor Sie das Zertifikat installiert haben, müssen Sie von vorne beginnen.

1. Verwendung einer Schlüsselgröße unter 2048 Bits: Moderne CAs und Browser erfordern mindestens 2048-bit RSA-Schlüssel. Die Verwendung kleinerer Schlüssel führt zu Ablehnung oder Browser-Warnungen.

1. Wiederverwendung alter CSRs: Generieren Sie für jede neue Zertifikatsanforderung oder -erneuerung immer einen neuen CSR. Die Wiederverwendung von CSRs kann Sicherheitsrisiken einführen und wird von einigen CAs möglicherweise abgelehnt.

Nach dem CSR: Ihr SSL-Zertifikat installieren

Sobald Ihre CA Ihren CSR validiert und das Zertifikat ausgestellt hat, erhalten Sie eine oder mehrere .crt– oder .pem-Dateien. Die Installationsschritte variieren je nach Plattform:

• Apache/Nginx unter Linux: Konfigurieren Sie die Zertifikatsdateipfade in Ihrer Virtual-Host-Konfiguration
• cPanel: Verwenden Sie den SSL/TLS-Manager, um das Zertifikat dem passenden privaten Schlüssel zuzuordnen und zu installieren
• IIS: Verwenden Sie „Zertifikatsanforderung abschließen” im IIS Manager, um das ausgestellte Zertifikat zu importieren
• Plesk / DirectAdmin: Verwenden Sie die integrierten SSL-Zertifikatsverwaltungsoberflächen

Für Nutzer von VPS Hosting oder Dedizierten Servern haben Sie vollen Root-Zugriff, um die Zertifikatsinstallation direkt über die Befehlszeile oder Ihr bevorzugtes Control Panel zu verwalten.

Häufig gestellte Fragen zu CSRs

Kann ich einen CSR für mehrere Zertifikate wiederverwenden?

Technisch gesehen ja, aber es wird dringend davon abgeraten. Jede Zertifikatsanforderung sollte einen neu generierten CSR und ein neues Schlüsselpaar verwenden, um eine ordnungsgemäße Sicherheitshygiene zu gewährleisten.

Wie lange ist ein CSR gültig?

Ein CSR selbst läuft nicht ab, aber das daraus ausgestellte Zertifikat schon (in der Regel 1 Jahr bei modernen SSL-Zertifikaten). Sie sollten bei jeder Zertifikatserneuerung einen neuen CSR generieren.

Was ist der Unterschied zwischen einem CSR und einem Zertifikat?

Ein CSR ist Ihre *Anforderung* zum Erhalt eines Zertifikats. Das Zertifikat ist das *ausgestellte Dokument* der CA, das mit dem privaten Schlüssel der CA signiert ist und dem Browser vertraut wird.

Benötige ich einen CSR für Let’s Encrypt?

Das ACME-Protokoll von Let’s Encrypt (verwendet von Tools wie Certbot) übernimmt die CSR-Generierung automatisch im Hintergrund. Sie können jedoch bei Bedarf auch einen benutzerdefinierten CSR bereitstellen.

Fazit

Ein Certificate Signing Request (CSR) ist der wesentliche erste Schritt beim Erhalt eines SSL/TLS-Zertifikats für Ihre Website. Er verpackt Ihren öffentlichen Schlüssel und Ihre organisatorische Identität in ein standardisiertes Format, das Certificate Authorities zur Ausstellung vertrauenswürdiger Zertifikate verwenden – wodurch HTTPS aktiviert, Nutzerdaten verschlüsselt und das Vertrauen der Besucher aufgebaut wird.

Ob Sie OpenSSL auf einem Linux VPS, die grafische cPanel-Oberfläche auf einem Shared-Hosting-Plan oder den IIS Manager auf einem Windows Server verwenden – der Prozess folgt denselben grundlegenden Prinzipien: Generieren Sie einen sicheren privaten Schlüssel, erstellen Sie den CSR mit genauen Informationen, reichen Sie ihn bei Ihrer CA ein und schützen Sie Ihren privaten Schlüssel während des gesamten Prozesses.

Bereit, Ihre Website zu sichern? Entdecken Sie AlexHosts SSL-Zertifikate für eine Reihe von Optionen, die für jede Projektgröße und jedes Budget geeignet sind – von der einfachen Domain-Validierung bis hin zu Extended-Validation-Zertifikaten für Unternehmensumgebungen. Kombinieren Sie Ihr SSL-Zertifikat mit zuverlässigem VPS Hosting oder Dedizierten Servern, um sicherzustellen, dass Ihre Infrastruktur so robust ist wie Ihre Sicherheitslage.