Ausstellung und Beantragung von Zertifikaten
Zertifikate entstehen nicht zufällig — sie müssen beantragt, geprüft und signiert werden.
Dieser Prozess unterscheidet sich je nachdem, ob es um öffentliche Zertifikate (z. B. für Websites)
oder interne Zertifikate (z. B. für VPN oder Unternehmensnetzwerke) geht.
Der Weg von der Anfrage bis zum Zertifikat
Bevor ein Zertifikat ausgestellt werden kann, muss der Antragsteller einen Certificate Signing Request (CSR) erzeugen.
Darin steht:
der öffentliche Schlüssel,
die Identitätsdaten (z. B. Domain oder Organisation),
und die gewünschte Nutzung (z. B. TLS, E-Mail, Code Signing).
Dieser CSR wird anschließend an eine Zertifizierungsstelle (CA) gesendet,
die ihn überprüft und daraus ein signiertes Zertifikat erstellt.
Typischer Ablauf
| Schritt | Beschreibung |
|---|---|
| 1. Schlüsselpaar erzeugen | Der Antragsteller erstellt ein privates und ein öffentliches Schlüsselpaar. Der private Schlüssel bleibt geheim. |
| 2. CSR erzeugen | Mit dem öffentlichen Schlüssel und den Identitätsdaten wird eine Zertifikatsanfrage erstellt (.csr-Datei). |
| 3. Validierung durch CA | Die CA überprüft, ob der Antragsteller berechtigt ist (z. B. Domainbesitz oder Firmenzugehörigkeit). |
| 4. Zertifikat signieren | Nach erfolgreicher Prüfung signiert die CA den CSR mit ihrem privaten Schlüssel. |
| 5. Zertifikat bereitstellen | Das fertige Zertifikat wird zurückgegeben (oft als .crt oder .pem). |
| 6. Installation | Der Antragsteller installiert das Zertifikat auf seinem Server oder Client. |
Beispiel: CSR-Erstellung mit OpenSSL
# 1. Privaten Schlüssel erzeugen
openssl genrsa -out server.key 2048
# 2. Zertifikatsanfrage (CSR) erzeugen
openssl req -new -key server.key -out server.csr \
-subj "/C=DE/ST=Baden-Württemberg/L=Konstanz/O=Studio Reichert/CN=informatik-pruefung.de"
Diese .csr-Datei sendest du an eine CA (z. B. Let’s Encrypt oder deine interne PKI).
Arten von Validierung
| Validierungsart | Bedeutung | Beispiel |
|---|---|---|
| DV (Domain Validation) | Prüfung, ob der Antragsteller die Domain besitzt. | Website-Zertifikate (z. B. Let’s Encrypt) |
| OV (Organization Validation) | Zusätzlich wird die Identität der Organisation überprüft. | Firmenzertifikate für Server oder E-Mail |
| EV (Extended Validation) | Erweiterte Überprüfung inkl. Handelsregister, Adresse etc. | Banken, Behörden, große Unternehmen |
Je höher die Validierungsstufe, desto stärker das Vertrauen.
Beispielhafte Validierung bei einer Domain
Wenn du informatik-pruefung.de validieren willst, fordert die CA z. B.:
eine DNS-Eintragung (TXT-Record mit Prüftoken)
oder eine Bestätigungsdatei auf dem Webserver (
/.well-known/acme-challenge/...)
Let’s Encrypt macht das vollautomatisch über das ACME-Protokoll.
Automatische Zertifikatserneuerung (ACME)
Das ACME-Protokoll (Automatic Certificate Management Environment)
ermöglicht es, Zertifikate vollautomatisch zu beantragen, zu validieren und zu erneuern.
Beispiel (Let’s Encrypt):
# Installation und automatische Erneuerung mit certbot
sudo apt install certbot
sudo certbot certonly --standalone -d informatik-pruefung.de
sudo certbot renew --dry-run
Der Vorteil:
Kein manuelles Beantragen, keine E-Mail-Validierungen, keine abgelaufenen Zertifikate mehr.
Interne Zertifikate (eigene PKI)
In Unternehmen gibt es oft eine interne Zertifizierungsstelle (CA),
die Zertifikate für interne Systeme, Benutzer und Geräte ausstellt.
Typische Werkzeuge:
Microsoft Active Directory Certificate Services (ADCS)
OpenSSL-basierte interne PKI
EJBCA oder Smallstep CA
Solche internen Zertifikate werden in der Regel nicht öffentlich vertraut,
sondern nur innerhalb der eigenen Infrastruktur.
Beispiel: Signierung eines CSRs mit einer eigenen Root-CA
# Root-CA Schlüssel & Zertifikat (einmalig)
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem \
-subj "/C=DE/O=Studio Reichert/CN=Studio Reichert Root CA"
# Zertifikat signieren (CSR annehmen und signieren)
openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key \
-CAcreateserial -out server.crt -days 365 -sha256
Damit hast du dein eigenes signiertes Zertifikat erstellt —
vertrauenswürdig innerhalb deines Unternehmens oder Labors.
Merksatz
Ein Zertifikat ist nur so sicher wie sein Ausstellungsprozess.
Wer die Schlüssel kontrolliert, kontrolliert das Vertrauen.