Certificate Signing Request

Ein Certificate Signing Request (CSR; deutsch Zertifikatsignierungsanforderung) oder Certification Request ist ein digitaler Antrag, mittels einer digitalen Signatur aus einem öffentlichen Schlüssel und der Identitäts-Information des Antragstellers ein digitales Identitäts-Zertifikat (auch Public-Key-Zertifikat genannt) zu erstellen.

Ablauf

Ein Certificate Signing Request dient dazu, bei einer Zertifizierungsstelle für X.509-Zertifikate (CA) ein Zertifikat für den öffentlichen Schüssel des Besitzers zu beantragen, wobei der private Schlüssel des Besitzers geheim bleibt.[1]

  1. Hierzu erzeugt der Besitzer ein Schlüsselpaar (einen privaten Schlüssel und einen öffentlichen Schlüssel).
  2. Der Besitzer erzeugt eine CSR-Datei, welche im Wesentlichen ein elektronisches Antragsformular ist. Es enthält neben der Identität des Besitzers (Antragsdaten) auch seinen öffentlichen Schlüssel.
  3. Der Besitzer sorgt für den sog. Proof-of-Possession (Besitz-Nachweis für den zugehörigen privaten Schlüssel), meist in Form einer Selbstsignatur des Antrags.
  4. Der Besitzer (= Antragsteller) sendet den CSR an die Registrierungsstelle zur Prüfung.
  5. Die Registrierungsstelle prüft den Antrag (also die CSR-Datei mit den Formularangaben und dem enthaltenden öffentlichen Schlüssel) und gibt ihn bei positivem Ausgang an die Zertifizierungsstelle weiter.
  6. Die Zertifizierungsstelle stellt dem Antragsteller ein neues öffentliches Zertifikat aus, indem sie eine entsprechende X.509 Datenstruktur mit ihrem privaten Schlüssel signiert, und sendet es (meist wieder über die Registrierungsstelle) an den Antragsteller (= Besitzer).

Formulardaten

Ein Industriestandard für X.509 ist PKCS #10.[2] Weniger verbreitet ist CRMF. Dieses Format ist flexibler, weil es neben der Selbstsignatur auch andere Arten des Proof-of-Possession erlaubt, etwa für Schlüssel, mit denen nur ver- und entschlüsselt, aber nicht signiert werden kann.

Die Anforderung wird meist unter Verwendung des privaten Schlüssels des Antragstellers erzeugt und besteht aus dem öffentlichen Schlüssel, einem differenzierten Namen und optionalen Attributen. Name und Attribute werden beispielsweise in folgendem Dialog abgefragt:

Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: Bayern
Locality Name (eg, city) []: Ingolstadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Beispiel e.V.
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: www.example.net
Email Address []: webmaster@example.net

Dieses Beispiel von OpenSSL bezeichnet den Haupt-Namen des Antragstellers als Common Name. Aus einem Zertifikat und dem zugehörigen privaten Schlüssel des Antragstellers kann seine Anforderung teilweise rekonstruiert werden.[3]

Der Antrag kann im druckbaren Format PEM oder als Binärdatei im Format DER erstellt werden. Die Anforderung wird meist über eine Registrierungsstelle an eine Zertifizierungsstelle (englisch certification authority) (CA) gesendet.[2]

Normen und Standards

Literatur

  • Reiko Kaps: Noch ein Sargnagel. Wie CAs das Vertrauen in die SSL-Technik weiter untergraben. In: c't. Nr. 14, 2014, S. 46 f. (heise.de [abgerufen am 11. August 2019] Problembeschreibung und Lösung per CSR).

Weblinks

Einzelnachweise

  1. Reiko Kaps: Noch ein Sargnagel. Wie CAs das Vertrauen in die SSL-Technik weiter untergraben. In: c't. Nr. 14, 2014, S. 46 f. (heise.de [abgerufen am 25. November 2018]).
  2. a b PKCS #10: Certification Request Syntax Specification – Version 1.7. Internet Engineering Task Force, November 2000; (englisch).
  3. How to turn a X509 Certificate in to a Certificate Signing Request. (Nicht mehr online verfügbar.) University of Wisconsin, Madison, 13. August 2010, archiviert vom Original am 23. November 2015; abgerufen am 22. November 2015 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/kb.wisc.edu