Tutorials zur CSR-Generierung
Ab dem 1. Juni 2023 schreiben verbesserte Sicherheitsmaßnahmen vor, dass private Schlüssel für Standard-Codesignaturzertifikate ausschließlich auf FIPS 140 Level 2, Common Criteria EAL 4+ oder gleichwertig zertifizierter Hardware gespeichert werden müssen. Diese Änderung steht im Einklang mit den strengen Schutzstandards von EV Code Signing-Zertifikaten. Infolgedessen haben die Zertifizierungsstellen (CAs) die Unterstützung der browserbasierten Schlüsselgenerierung, der CSR-Erstellung und der Installationsprozesse eingestellt. Wenn Sie stattdessen bei der Beantragung des Zertifikats die Versandmethode Token+ wählen, wird die Zertifizierungsstelle aufgefordert, die CSR zu erstellen. Diejenigen, die eine HSM-Installation bevorzugen, müssen sich an die nachstehenden Anweisungen oder die Richtlinien des jeweiligen Anbieters halten.
- YubiKey 5 FIPS CSR-Generierung und -Attestierung
- Luna Network Attached HSM v7.x: CSR & Attestierungsleitfaden
Erfahren Sie mehr über die Methoden zur Bereitstellung von Code Signing-Zertifikaten.
Link kopieren
Wenn Sie eine CSR für ein Wildcard-SSL-Zertifikat erstellen, müssen Sie ein Sternchen (*) vor dem Domainnamen hinzufügen, den Sie sichern möchten. Sie würden zum Beispiel *.ihredomain.de in das Feld Common Name eingeben.
Link kopieren
Es wird nicht empfohlen, bei der Beantragung eines neuen SSL-Zertifikats eine bestehende CSR zu verwenden, da die Wiederverwendung desselben Schlüssels über sehr lange Zeiträume die Sicherheit der Website beeinträchtigen kann.
Link kopieren
Wenn Sie eine CSR über ein externes Tool wie einen CSR-Generator erstellen, sollten Sie einen einzigen Domänennamen oder eine Subdomäne eingeben. Die übrigen Domänen oder Subdomänen, die so genannten SANs (2., 3., 4. Domäne oder Subdomäne), sollten in die Felder für zusätzliche Domänen aufgenommen werden. Die zusätzlichen Domänenfelder finden Sie auf dem Konfigurationsformular für SSL-Zertifikate.
Wenn Sie die CSR mit OpenSSL erzeugen, müssen Sie eine neue Datei namens req.conf erstellen und weitere DNS-Einträge hinzufügen. Hier ist die Befehlszeile zum Anfordern der CSR:
openssl req -new -out anfrage_name.csr -newkey rsa:2048 -nodes -sha256 -keyout anfrage_name.key -config req.conf
Link kopieren
Um die CSR auf Ihrem Server zu erstellen, benötigen Sie Zugang zu Ihrem Control Panel oder einem sicheren Shell-Terminal. Sie können den CSR auch extern über ein CSR-Generator-Tool direkt in Ihrem Browser erstellen.
Link kopieren
Das System oder die Plattform, auf der Sie den CSR erstellen, erzeugt zwei Textdateien. Die Datei mit der Erweiterung .csr enthält Ihren CSR-Code, während die Datei mit der Erweiterung.key Ihren privaten Schlüssel enthält.
Link kopieren
Die CSR-Erstellung selbst erfolgt unmittelbar. Die einzige Zeit, die Sie benötigen, ist das Ausfüllen der erforderlichen CSR-Felder mit Ihren Kontaktinformationen.
Link kopieren
Sie müssen jedes Mal einen CSR-Code generieren, wenn Sie ein neues Zertifikat beantragen oder Ihr auslaufendes Zertifikat verlängern. Die CA verwendet die aktuellen Daten aus Ihrer CSR, um Ihr SSL-Zertifikat zu validieren und auszustellen.
Link kopieren
Um die CSR zu erstellen, müssen Sie Zugang zu Ihrem Server haben oder ein Tool eines Drittanbieters verwenden, das die CSR-Dateien automatisch erstellt, nachdem Sie die erforderlichen Daten übermittelt haben.
Link kopieren
Sie müssen die folgenden Angaben machen:
- Land Name
- Staat oder Provinz Name
- Name des Ortes
- Name der Organisation
- Common Name (der FQDN – Fully Qualified Domain Name, den Sie sichern möchten)
Link kopieren