CSR-Erstellung MS Windows (mit certreq)

Auf dieser Seite wird erklärt, wie Sie eine Zertifikatsregristrierungsanforderung (Certificate Signing Request - CSR) mit certreq erstellen können. Im CSR wird ihr öffentlicher Schlüssel (Public Key - PK) angegeben sowie weitere Informationen für das jeweilige Zertifikat, insbesondere der zu verwendene Domain-Name als Common Name (CN) sowie die Kontaktdaten des Antragstellers. Mit diesen Daten aus dem CSR kann Ihnen nach Prüfung und Genehmigung die Zertifizierungsstelle (Certificate Authority - CA) das Zertifikat ausstellen.

Certreq

Auf unserer Internetseite icertificate.eu können Sie auch unser Tool verwenden zum Erzeugen eines gültigen CSR.

Die nachfolgende Methode nutzt das Windows-Tool certreq.exe und erstellt ein Certificate Signing Request (CSR) mit SHA2.

Windows Server 2008 | Windows Server 2008 R2 | Windows Vista | Windows 7

Erstellung Certificate Signing Request (CSR)

1. Melden Sie sich als Administrator an.
2. Öffnen Sie das MS-DOS-Eingabefenster (cmd) als Administrator.
3. Geben Sie notepad ein.
4. Es öffnet sich ein einfacher Texteditor. Geben Sie dort die Parameter für Ihren CSR ein. Ersetzen Sie dabei:
   • CN = Domainname für Zertifikat, z.B. icertificate.eu
     • Bei Wildcard-Zertifikaten *.domain.tld angeben.
   • C = Ihr ISO-Länderkürzel (zweistellig), z.B. DE
   • L = Ihre Stadt (ausgeschrieben), z.B. Bonn
   • ST = Ihr Bundesland (ausgeschrieben), z.B. Nordrhein-Westfalen
   • O = Ihr Organisationsname, z.B. icertificate GmbH
   • OU = Ihre Organisationseinheit, z.B. IT <source lang=xml enclose="div">[Version]

Signature="$Windows NT§" [New Request] Subject = "CN=icertificate.eu,O=icertificate GmbH,OU=IT,ST=Nordrhein-Westfalen,L=Bonn,C=DE" KeyLength = 2048 KeySpec = 1 Exportable = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" HashAlgorithm = SHA256 MachineKeySet = True SMIME = False UseExistingKeySet = False RequestType = PKCS10 KeyUsage = 0xA0 Silent = True FriendlyName = "Zertifikat SHA-256" [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1</source>

1. • Für mehrere Subdomains (Subject Alternative Names - SAN) ergänzen Sie folgende Eingaben: <source lang=php enclose="div">[Extensions]

2.5.29.17 = "{text}" _continue_ = "dns=mail.icertificate.eu&" _continue_ = "dns=server.icertificate.eu&"</source>

1. • Eine Liste aller Parameter von certreq gibt es unter Technet von Microsoft zu certreq
2. Speichern Sie die Datei ab mit passendem Namen und Dateiendung .inf, z.B. csrangaben.inf
3. Führen Sie folgenden Befehl aus: <source lang=xml enclose="div">certreq.exe -new csrangaben.inf csr256.req</source>

Überprüfung CSR

Prüfung Textdatei

1. Sie können sich Ihren erstellten CSR als Textdatei anzeigen lassen. Geben Sie dazu folgenden Befehl ein, wobei der Dateiname mit der Endung .req mit dem oben angegebenen Dateinamen übereinstimmen muss: <source lang=xml enclose="div">notepad csr256.req</source>
2. Das Ergebnis sollte als Beispiel wie folgt aussehen: <source lang=xml enclose="div">-----BEGIN CERTIFICATE REQUEST-----

MIIC6zCCAdMCAQAwgaUxCzAJBgNVBAYTAkRFMRwwGgYDVQQIExNOb3JkcmhlaW4t V2VzdGZhbGVuMQ0wCwYDVQQHEwRCb25uMRowGAYDVQQKExFpY2VydGlmaWNhdGUg R21iSDELMAkGA1UECxMCSVQxGDAWBgNVBAMTD2ljZXJ0aWZpY2F0ZS5ldTEmMCQG CSqGSIb3DQEJARYXc3VwcG9ydEBpY2VydGlmaWNhdGUuZXUwggEiMA0GCSqGSIb3 DQEBAQUAA4IBDwAwggEKAoIBAQDH4WYxgMYvxar4yZfUseT0j+QGSn896etUR7AQ +J2F58y24tX5+KCPQa/GaNQfvYL6/xgJvPby0PeRrQDMY62h/S4wCZhAXd58BXxh EseDm2530GCe6vr4ffZfo9O1ErPGrjUnoFQ2V/BknhtWi1I566kgdDFBQU5TEieF Bd946P6IjIaQ8IPmq8S8zHgKz3qjGY7V9UXn1ON0gqHilJ7S7sFAkNgcOS/y/ddD KlrygmOxATvFK5q95AXk8GHlPDo7F3Xz7mHyt0FDRg7QBZcDOK4SbzQYra1k8OLe 0yF+NVSZs87G6PWv48qTLu0u9bhdApvZ8NRXZSIrVJPe95Q1AgMBAAGgADANBgkq hkiG9w0BAQUFAAOCAQEAqnNwUAsTNCNjdpQUP/KC2Sn3QVoh2aYtCHhDvj+1AmGN L/H2/tk+7BPhu7eNBvu4MK9N+UlC0aMeuK7S6HPb/blTs5EnXjLoMjRtN+KLzVcO n4FrHeC7yyYaBGO24UTfhhKnybVv9KZTYwn5sqAhutd8oxQi96aNjc+7LjXhV2eY hS0sHuxhIg4jdM2/sdWF+Y6gsayp5uePWSxROFH5Q48tvGewR4b+Jgzg3W+lGY0r ibIKrihoR1qKYVlg7sKf+EZ7L4u3+sIBOnYZdPCyaWHTKqtv8IGqcPc4LtmjEu5X TJnUNAQXzCYlRp1YgXe5j8Wqx9WhV0//IRuVfrd6ew==

END CERTIFICATE REQUEST-----</source>

Prüfung mit certutil-Befehl

Sie können sich den CSR mit weiteren Angaben auch in der Befehlszeile/Terminal mit folgendem Befehl anzeigen lassen, wobei wiederum der jeweilige Dateiname (hier im Beispiel csr256.req) verwendet werden muss:<source lang=xml enclose="div">certutil csr256.req/source>

Prüfung mit Online-Tool

Komfortabel ist auch die Prüfung des erstellten CSR mit einem Online-Tool wie bei Symantec.

1. Rufen Sie die Internetseite Symantec CSR Check in Ihren Internet-Browser auf.
2. Fügen Sie dort am besten mit Copy&Paste Ihren CSR ein (beginnend mit -----BEGIN CERTIFCATE REQUEST----- und endend mit -----END CERTIFICATE REQUEST-----) und klicken auf "Check".
3. Überprüfen Sie dort, ob alle Angaben korrekt ausgelesen werden können.

   

Installation Zertifikat

1. Laden Sie diesen CSR bzw. die Datei csr256.req bei Ihrer Zertifizierungsstelle hoch, um das Zertifikat zu erzeugen.
2. Nach Erhalt Ihres Zertifikats kopieren Sie dieses in das Stammverzeichnis c:\ und führen folgenden Befehl aus: <source lang=xml enclose="div">certreq.exe -accept zertifikatname.cer</source>
3. Ihr Zertifikat wurde nun erfolgreich erstellt und eingebunden.

Windows Server 2003 | Windows Server 2003 R2 | Windows XP

1. Melden Sie sich als Administrator an.
2. Öffnen Sie das MS-DOS-Eingabefenster (cmd) als Administrator.
3. Geben Sie notepad ein.
4. Es öffnet sich ein einfacher Texteditor. Geben Sie dort die Parameter für Ihren CSR ein. Ersetzen Sie dabei:
   • CN = Domainname für Zertifikat, z.B. icertificate.eu
     • Bei Wildcard-Zertifikaten *.domain.tld angeben.
   • C = Ihr ISO-Länderkürzel (zweistellig), z.B. DE
   • L = Ihre Stadt (ausgeschrieben), z.B. Bonn
   • ST = Ihr Bundesland (ausgeschrieben), z.B. Nordrhein-Westfalen
   • O = Ihr Organisationsname, z.B. icertificate GmbH
   • OU = Ihre Organisationseinheit, z.B. IT<source lang=xml enclose="div">[Version]

Signature="$Windows NT§" [New Request] Subject = "CN=icertificate.eu,O=icertificate GmbH,OU=IT,ST=Nordrhein-Westfalen,L=Bonn,C=DE" KeyLength = 2048 KeySpec = 1 Exportable = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" HashAlgorithm = SHA256 MachineKeySet = True SMIME = False UseExistingKeySet = False RequestType = PKCS10 KeyUsage = 0xA0 Silent = True FriendlyName = "Zertifikat SHA-256" [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1</source>

1. • Für mehrere Subdomains (Subject Alternative Names - SAN) ergänzen Sie folgende Eingaben: <source lang=php enclose="div">[RequestAttributes]

SAN="dns=mail.icertificate.eu&dns=server.icertificate.eu"</source>

1. • Eine Liste aller Parameter von certreq gibt es unter Technet von Microsoft zu certreq
2. Speichern Sie die Datei ab mit passendem Namen und Dateiendung .inf, z.B. csrangaben.inf
3. Führen Sie folgenden Befehl aus: <source lang=xml enclose="div">certreq.exe -new csrangaben.inf csr256.req</source>
4. Schauen Sie sich Ihren erstellten CSR an: <source lang=xml enclose="div">notepad csr256.req</source>
5. Laden Sie diesen CSR bzw. die Datei csr256.req bei Ihrer Zertifizierungsstelle hoch, um das Zertifikat zu erzeugen.
6. Nach Erhalt Ihres Zertifikats kopieren Sie dieses in das Stammverzeichnis c: und führen folgenden Befehl aus: <source lang=xml enclose="div">certreq.exe -accept zertifikatname.cer</source>
7. Ihr Zertifikat wurde nun erfolgreich erstellt und eingebunden.

Weblinks

• Technet von Microsoft zur Syntax von certreq