CSR-Decoder: Prüfen Sie Ihren CSR vor der Zertifikatsausstellung

Das Erste, was Sie einer Zertifizierungsstelle bei der Anforderung eines SSL/TLS-Zertifikats übergeben, ist ein CSR. Ein einziger Tippfehler, ein falscher Domainname oder eine schwache Schlüsselgröße in diesem Block kann dazu führen, dass Ihr Zertifikat abgelehnt oder mit falschen Angaben ausgestellt wird. Genau hier zeigt ein CSR-Decoder seinen Wert: Er zeigt Ihnen in verständlicher Form, was Ihr CSR wirklich enthält, bevor Sie ihn absenden.

Was ist ein CSR?

Ein CSR (Certificate Signing Request, Zertifikatssignieranforderung) ist ein Base64-codierter PEM-Block, den Sie erstellen, um bei einer CA ein Zertifikat anzufordern. Er enthält Ihren Domainnamen (Common Name), Ihre Organisationsdaten und Ihren öffentlichen Schlüssel. Beim Erstellen des CSR wird gleichzeitig ein passender privater Schlüssel erzeugt. Dieser private Schlüssel verlässt niemals Ihren Server und ist nicht im CSR enthalten.

Kurz gesagt ist ein CSR eine signierte Anfrage mit der Aussage: "Stelle ein Zertifikat für diese Domain und diesen öffentlichen Schlüssel aus." Die CA validiert die Anfrage und stellt ein Zertifikat aus, das an den enthaltenen öffentlichen Schlüssel gebunden ist.

Wie wird ein CSR erstellt?

Das gängigste Werkzeug ist OpenSSL. Der folgende Befehl erstellt in einem Schritt sowohl einen 2048-Bit-Privatschlüssel als auch einen CSR:

openssl req -new -newkey rsa:2048 -nodes \
  -keyout example.key \
  -out example.csr \
  -subj "/C=DE/ST=Bayern/L=Muenchen/O=Beispiel GmbH/CN=beispiel.de"

Danach haben Sie zwei Dateien: example.key, die Sie geheim halten müssen, und example.csr, die Sie an die CA senden. Für mehrere Domains (SANs) fügen Sie über eine -config-Datei einen subjectAltName-Eintrag hinzu.

Was bedeuten die decodierten Felder?

Ein CSR-Decoder öffnet diesen PEM-Block und zeigt jedes Feld in lesbarer Form:

  • CN (Common Name): die primäre Domain, für die das Zertifikat ausgestellt wird, z. B. beispiel.de.
  • O (Organization): der Name Ihrer Organisation.
  • OU (Organizational Unit): eine Einheit oder Abteilung (in den meisten Zertifikaten heute optional).
  • L / ST / C: Stadt, Bundesland/Region und Ländercode.
  • Schlüsseltyp und -größe: zum Beispiel RSA 2048-Bit oder ECDSA P-256.
  • Signaturalgorithmus: meist SHA-256 mit RSA.
  • SANs: zusätzliche Domainnamen (Subject Alternative Names), eingebettet im extensionRequest.
  • Signaturgültigkeit: ob die Selbstsignatur des CSR stimmig ist.

Warum sollten Sie Ihren CSR vor dem Absenden decodieren?

Das Decodieren eines CSR vor dem Absenden findet schwer korrigierbare Fehler, bevor sie passieren:

  1. Tippfehler im CN: ein einziger falscher Buchstabe wie beispeil.de führt zu einem Zertifikat für die falsche Domain. Der Decoder zeigt das deutlich an.
  2. Fehlende oder falsche SANs: moderne Browser betrachten nur das SAN-Feld. Wenn Sie die www-Subdomain vergessen, ist das Zertifikat für www.beispiel.de nicht gültig. Der Decoder listet die SANs zur Kontrolle auf.
  3. Schwache Schlüsselgröße: ein alter, unsicherer 1024-Bit-Schlüssel wird nicht mehr akzeptiert. Da der Decoder die Schlüsselgröße anzeigt, können Sie bestätigen, dass Sie 2048-Bit oder mehr verwenden.
  4. Falsche Organisationsdaten: bei OV/EV-Zertifikaten werden die Felder O und L geprüft, daher spart die korrekte Eingabe von Anfang an tagelange Rückfragen.

Wenn Sie bereit sind, fügen Sie Ihren CSR in unser CSR-Decoder-Tool ein und sehen jedes Feld in Sekunden.

Läuft im Browser: der Datenschutzvorteil

Einen CSR in ein beliebiges Online-Tool einzufügen kann bedeuten, dass Sie Ihre Serverkonfigurationsdaten an eine unbekannte Partei senden. Unser Tool ist anders: Es läuft vollständig in Ihrem Browser. Ihr CSR wird nie auf unsere Server hochgeladen, die Decodierung erfolgt auf Ihrem Gerät. Auch wenn ein CSR keinen privaten Schlüssel enthält, behalten Sie Ihre Daten so bei sich und erleichtern die Einhaltung von Datenschutzrichtlinien.

CSR sieht korrekt aus, was nun?

Sobald Sie bestätigt haben, dass jedes Feld in Ihrem CSR korrekt ist, können Sie Ihr Zertifikat anfordern. Folgen Sie unserem Zertifikatsassistenten, um Ihr kostenloses 90-Tage-Zertifikat von Let's Encrypt Schritt für Schritt zu erstellen.

Zusammenfassung

Der CSR ist die Grundlage Ihres Zertifikatsprozesses, und ein kleiner Fehler darin kann große Verzögerungen verursachen. Wenn Sie CN, Organisationsdaten, SANs und Schlüsselgröße vor dem Absenden mit einem CSR-Decoder prüfen, finden Sie Fehler früh. Verifizieren Sie Ihren CSR mit unserem browserbasierten Tool vertraulich und stellen Sie Ihr Zertifikat dann mit Zuversicht aus.