Zertifikatsanforderung und Ausstellung

Damit ein Zertifikat entsteht, müssen mehrere Schritte aufeinander folgen.
Am Anfang steht immer die Erzeugung eines Schlüsselpaares – erst danach kann eine Zertifizierungsstelle (CA) das Zertifikat ausstellen.

Die Schritte lassen sich in vier Phasen einteilen:

Schlüsselpaar erzeugen
CSR (Certificate Signing Request) erstellen
CA signiert den Antrag
Zertifikat wird an den Antragsteller zurückgegeben

Schlüsselpaar erzeugen

Ein Schlüsselpaar besteht aus:

einem privaten Schlüssel (geheim, bleibt beim Antragsteller),
einem öffentlichen Schlüssel (wird im Zertifikat veröffentlicht).

Der private Schlüssel ist die Basis aller Sicherheit – wer ihn verliert, verliert das Vertrauen in das Zertifikat.

Beispiel in OpenSSL:

openssl genrsa -out server.key 2048

Alternative mit modernerem Algorithmus

openssl ecparam -genkey -name prime256v1 -out server.key

Ergebnis:
server.key enthält den privaten Schlüssel und darf niemals weitergegeben werden.

CSR – Certificate Signing Request

Der CSR enthält:

den öffentlichen Schlüssel,
Identitätsinformationen (z. B. Domainname, Organisation),
und eine Signatur mit dem privaten Schlüssel, um die Echtheit zu bestätigen.

Beispiel:

openssl req -new -key server.key -out server.csr

Während der Eingabe fragt OpenSSL nach:

Country (C)
State (ST)
Organization (O)
Common Name (CN) → z. B. www.meine-domain.de

Der CSR (server.csr) kann nun an eine interne oder öffentliche CA übermittelt werden.

Zertifikatserstellung durch CA

Die CA überprüft die Daten im CSR und signiert diesen mit ihrem eigenen privaten Schlüssel.
Dadurch wird das resultierende Zertifikat vertrauenswürdig.

Beispiel (wenn du selbst eine CA betreibst):

openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key \
  -CAcreateserial -out server.crt -days 365 -sha256

Ergebnis:
server.crt ist das signierte Zertifikat, das nun für HTTPS, VPN oder Mailserver verwendet werden kann.

Zertifikat prüfen

Ob ein Zertifikat korrekt zur CA passt, lässt sich mit OpenSSL überprüfen:

openssl verify -CAfile rootCA.crt server.crt

Wenn alles stimmt, lautet die Ausgabe:

server.crt: OK

Interaktive Visualisierung: Vom Schlüssel zum Zertifikat

Die folgende Darstellung zeigt den gesamten Ablauf.
Klicke auf einen Schritt, um den Prozess animiert zu sehen.

Ablauf: Zertifikatsanforderung und Ausstellung

Die Schritte laufen nacheinander entlang der Linie. Starte die Animation oder klicke auf einen Schritt.

1. Schlüssel erzeugen

2. CSR erstellen

3. CA signiert

4. Zertifikat bereit

Klicke auf einen Schritt oder starte die Animation.