CSR erstellen mit MMC: Schritt-für-Schritt-Anleitung

CSR erstellen mit MMC – so erzeugen Sie schnell und korrekt eine Zertifikatsanforderung (PKCS#10) für Ihr SSL/TLS-Zertifikat. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch die MMC, erklärt alle Pflichtfelder, empfohlene Kryptografie-Einstellungen und zeigt typische Stolperfallen.

Voraussetzungen & Vorbereitung

• Windows mit Administratorrechten
• Zugriff auf die Microsoft Management Console (mmc.exe)
Entscheidung, auf welchem System der private Schlüssel liegen soll (empfohlen: auf dem späteren Zielsystem, z. B. Webserver)
• Vollständige Angaben für das Distinguished Name (DN):
1. Common Name (CN): FQDN, z. B. www.beispiel.com
2. Country (C): zweistellig, z. B. DE
3. State or Province (ST): ausgeschrieben, z. B. Bayern
4. Locality (L): Stadtname, z. B. München
5. Organization (O): rechtlicher Firmenname
6. Organizational Unit (OU): Abteilung (optional)
7. Optional: Liste der Subject Alternative Names (SAN), z. B. www.beispiel.com, beispiel.com, api.beispiel.com

Tipp: Erstellen Sie die CSR immer auf dem System, auf dem das Zertifikat später genutzt wird. So bleibt der private Schlüssel lokal und muss nicht exportiert werden.

CSR über die Microsoft Management Console (MMC) erstellen

• MMC öffnen
  Start ► Ausführen ► mmc.exe eingeben und bestätigen.
• Snap-In hinzufügen
  Datei ► Snap-In hinzufügen/entfernen ► Zertifikate auswählen ► Hinzufügen.
  Computerkonto wählen ► Weiter ► Lokaler Computer ► Fertig stellen ► OK.
• Zertifikatsspeicher öffnen
  In der Konsolenansicht: Zertifikate (Lokaler Computer) ► Eigene Zertifikate.
• Benutzerdefinierte Anforderung starten
  Rechtsklick auf Eigene Zertifikate ► Alle Aufgaben ► Erweiterte Vorgänge ► Benutzerdefinierte Anforderung erstellen.
• Ohne Vorlage fortfahren
  Assistent ► Weiter ► Ohne Vorlage fortfahren ► Weiter.
• Anforderungstyp wählen
  Zertifikatanforderungstyp: PKCS#10 ► Weiter.
• Eigenschaften öffnen
  Bereich Zertifikatsinformationen ► Button Eigenschaften öffnen.
• Antragsteller-Daten eintragen (DN)
  Register Antragsteller: Felder wie CN, O, OU, L, ST, C gemäß Ihrer Angaben eintragen.
  Beispiel:
  1. CN: www.beispiel.com
  2. O: Beispiel GmbH
  3. OU: IT (optional)
  4. L: München
  5. ST: Bayern
  6. C: DE
• Subject Alternative Names (SAN) hinzufügen (empfohlen)
  Register Alternative Name ► Typ DNS ► jeden Hostnamen einzeln hinzufügen (z. B. www.beispiel.com, beispiel.com).
  
  Wichtig: Viele CAs prüfen heute SAN. Wenn nur der CN gesetzt ist, deckt das Zertifikat nicht automatisch weitere Hostnamen ab.
• Schlüsseloptionen festlegen
  Register Schlüssel:
  1. Anbieter/Key Storage Provider: Standard (z. B. „Microsoft RSA SChannel Cryptographic Provider“ oder KSP)
  2. Schlüssellänge: mindestens 2048 Bit (empfohlen: 3072 Bit, wenn unterstützt)
  3. Hashalgorithmus: SHA-256
  4. Haken setzen: Privatschlüssel kann exportiert werden (falls Sie den Schlüssel ggf. in andere Stores migrieren müssen)
• Erweiterungen (optional)
  Register Erweiterungen ► ggf. Key Usage und Enhanced Key Usage prüfen. Für Webserver-Zertifikate ist i. d. R. Server Authentication (1.3.6.1.5.5.7.3.1) relevant.
• CSR speichern
  Assistent fortsetzen ► Base64 als Format wählen ► Speicherort auswählen ► Datei z. B. www_beispiel_com.csr speichern.
  (Je nach Dialog wird die Datei ggf. mit .req Endung erzeugt – funktional gleich, bei Bedarf in .csr umbenennen.)

Damit ist Ihre CSR (PKCS#10) erstellt und der Private Key sicher im lokalen Computerspeicher abgelegt.

Wofür wird die CSR verwendet?

Die CSR (Certificate Signing Request) übermittelt Ihre öffentlichen Schlüsseldaten und Identitätsangaben an die Zertifizierungsstelle, um ein SSL/TLS-Zertifikat zu beantragen. Dieses wird anschließend genutzt, um sichere Verbindungen herzustellen – beispielsweise für CXM WebConnect oder den Mobile CRM Server.