RSA oder ECDSA, was nehme ich?

**ECDSA P-256** fuer moderne Server (Nginx, Apache 2.4+, jeder neue Stack). Kleinere Keys (256 Bit vs RSA-2048), schnellere TLS-Handshakes, gleiches Sicherheitsniveau. **RSA 2048** fuer aeltere Systeme (Windows Server 2008, Embedded), universelle Kompatibilitaet. Lets Encrypt empfiehlt ECDSA fuer neue Zertifikate.

Was sind SANs und warum zaehlen sie?

[[SANs||Subject Alternative Names]] sind die **zusaetzlichen Domains, die das Zertifikat abdeckt**. Ohne SANs funktioniert das Zertifikat nur fuer den CN (z. B. example.de). Um auch www.example.de oder api.example.de abzudecken, in die SANs aufnehmen. **2025** nutzt jedes Zertifikat SANs, der nackte CN ist Legacy aus 1990er-SSL.

Was ist die Key-Passphrase und sollte ich eine setzen?

Ein **passphrase-verschluesselter Private-Key** ist sicher, auch wenn die Datei leakt. Ohne sie kontrolliert jeder mit Dateizugriff deine Domain. **Tradeoff**: der Server muss die Passphrase kennen, um TLS zu starten, er fragt also bei jedem Restart. Meist legst du sie in eine Config-Datei, was den Schutz schwaecht. **Fuer Produktion** HSMs oder HashiCorp Vault statt einer Passphrase.

Ist Common Name Legacy?

Ja, **CN wurde** zugunsten von SANs in RFC 6125 (2011) **deprecated**. Die meisten Browser ignorieren CN schon und pruefen nur SANs. Aber der **CSR braucht aus Kompatibilitaetsgruenden weiterhin einen CN** (jede CA erwartet ihn). Die Hauptdomain in CN setzen und in SANs wiederholen.

Country C braucht einen 2-Buchstaben-Code, welcher?

Der Standard [[ISO 3166-1 alpha-2||Laendercode-Standard, Grossbuchstaben, 2 Zeichen]]. Deutschland = DE, Oesterreich = AT, Schweiz = CH, USA = US, United Kingdom = GB. Schreib nicht "Germany" oder "Deutschland", die CA lehnt den CSR ab.

Gehen meine Daten (CN, O, E-Mail) an euren Server?

**Nein.** Die Generierung laeuft komplett im Browser (node-forge-Library + Web-Crypto-API). Oeffne **DevTools -> Network** waehrend der Generierung, du siehst null Requests. Der Private-Key **verlaesst** dein Geraet nicht.

Was mache ich mit dem Private-Key nach dem Generieren?

Auf einen sicheren Pfad am Server speichern (`/etc/ssl/private/example.de.key` unter Linux). Rechte **600 (nur root lesbar)**. In einen Passwort-Manager oder Tresor sichern. **Nie in ein Code-Repo committen** (gitignore!). Verlierst du den Key, brauchst du einen neuen CSR plus erneuertes Zertifikat (die CA kann nicht helfen).

Kann ich diesen Key fuer mehrere Domains wiederverwenden?

Ja, der Private-Key **ist nicht an eine bestimmte Domain gebunden**, nur an ein Zertifikat. Du kannst mehrere Zertifikate fuer unterschiedliche Domains mit demselben Key ausstellen. **Aber nicht empfohlen**: bei Kompromittierung eines Servers ist jede Domain auf diesem Key exponiert. Best Practice: ein Key, ein Cert (oder eine SAN-Gruppe).

Wie wird der CSR zu einem signierten Zertifikat?

Den CSR an deine CA einreichen (Lets Encrypt, DigiCert, ...). Die CA verifiziert, dass du die Domain kontrollierst (HTTP- oder DNS-Challenge), und stellt dann das Zertifikat (.crt) aus. Mit dem Private-Key in die Webserver-Config einbinden (Nginx: `ssl_certificate` + `ssl_certificate_key`). Reload, HTTPS ist live.

CSR-Generator - kostenlos

CSR + Private-Key-Generator

Erzeuge ein CSR (Certificate Signing Request) und den passenden privaten Schlüssel, um ein SSL/TLS-Zertifikat zu bestellen. Oder dekodiere ein vorhandenes CSR, um Subject und SANs zu prüfen.

Common Name (Domain)*

example.com

E-Mail

Organisation (O)

z. B. Acme Corp

Organisationseinheit (OU)

z. B. IT, Engineering

Ort (L)

z. B. München

Bundesland/Region (ST)

z. B. Bayern

Land (C, 2 Buchstaben)

ISO-3166-Code: US, DE, GB, PL

Alternative Antragstellernamen (SANs)

Komma-getrennte Liste zusätzlicher Domains. Standard für moderne Zertifikate.

Schlüssel-Algorithmus

Passphrase des privaten Schlüssels (optional)

Privater Schlüssel und CSR werden lokal in deinem Browser generiert. Nichts verlässt dein Gerät.

Was ist ein CSR und wann brauchst du einen?

Ein CSR ist das Standardformat zum Bestellen eines SSL-/TLS-Zertifikats bei einer Certificate Authority (Lets Encrypt, DigiCert, Sectigo). Du fuellst Domain-Details aus, klickst Generate und bekommst zwei Dateien: einen CSR (an die CA schicken) und einen Private-Key (auf dem Server behalten, nie teilen).

Hier generierst du das Paar direkt im Browser. Wir unterstuetzen RSA 2048/3072/4096 und ECDSA P-256/P-384 (der moderne Default, kleinere Keys). SANs ergaenzen, wenn das Zertifikat www, api, blog usw. enthalten soll.

Zweiter Tab: bestehenden CSR einfuegen, wir dekodieren Subject, SANs und Algorithmus, du kannst ihn vor dem Senden an eine CA verifizieren.

Alles laeuft lokal. Der Private-Key wird im Browser generiert und nie uebertragen.

So nutzt du es

Tab Generate: den Common Name (CN) eintragen, die Hauptdomain fuer das Zertifikat (z. B. example.de).

Organization (O), Unit (OU), City (L), State (ST) und Country (C, ein 2-Buchstaben-ISO-Code: DE, AT, CH) ergaenzen.

Das Feld SANs ist eine komma-getrennte Liste zusaetzlicher Domains (z. B. www.example.de, api.example.de). Die meisten Zertifikate decken mindestens "example.de" und "www.example.de" ab.

Den Algorithmus waehlen: RSA 2048 fuer maximale Kompatibilitaet, ECDSA P-256 fuer Geschwindigkeit und moderne Stacks (Lets-Encrypt-Empfehlung 2025).

Generate klicken, zwei Dateien bekommen: einen CSR (an die CA schicken, z. B. ins Lets-Encrypt-Control-Panel einfuegen) und einen Private-Key (auf dem Server behalten, nie teilen).

Tab Decode: einen bestehenden CSR einfuegen (z. B. von OpenSSL generiert) und Subject, SANs und Algorithmus sehen. Vor dem Senden an eine CA verifizieren.

Wann du es nutzt

Fuenf typische Situationen, in denen du einen CSR generieren musst:

Lets-Encrypt-Zertifikat fuer deinen eigenen Server. Die meisten nutzen certbot/acme.sh (automatische CSRs), bei manuellem Setup oder Sonderfaellen generierst du selbst.
Kommerzielles SSL-Zertifikat von DigiCert, Sectigo, GlobalSign. Bezahlte Zertifikate verlangen immer einen CSR von deinem Server.
**Wildcard-Zertifikat (*.example.de).** CN auf "*.example.de" setzen, um jede Subdomain abzudecken.
Intranet-/Staging-Zertifikat. Der CSR wird von der internen CA deiner Firma signiert.
Zertifikat auf einen neuen Server migrieren. Neuer CSR + neuer Key vermeidet, den alten Key zu exponieren.

Zum Inspizieren eines Live-Zertifikats den SSL-Zertifikats-Pruefer nutzen. Zum Generieren eines JWT-Signing-Keys den JWT-Schluesselpaar-Generator.

Fragen und Antworten

Ein CSR ist ein Antrag. Er enthaelt deine Server-Details + deinen Public-Key + deine Signatur. Ein Zertifikat ist die Antwort der CA: dieselben Daten PLUS die Signatur der CA, die belegt, dass du bist, wer du behauptest. Browser vertrauen nur Zertifikaten, die von einer vertrauenswuerdigen CA (Lets Encrypt, DigiCert, ...) signiert sind.

CSR + Private-Key-Generator

Erzeuge ein CSR (Certificate Signing Request) und den passenden privaten Schlüssel, um ein SSL/TLS-Zertifikat zu bestellen. Oder dekodiere ein vorhandenes CSR, um Subject und SANs zu prüfen.

Common Name (Domain)*

example.com

E-Mail

Organisation (O)

z. B. Acme Corp

Organisationseinheit (OU)

z. B. IT, Engineering

Ort (L)

z. B. München

Bundesland/Region (ST)

z. B. Bayern

Land (C, 2 Buchstaben)

ISO-3166-Code: US, DE, GB, PL

Alternative Antragstellernamen (SANs)

Komma-getrennte Liste zusätzlicher Domains. Standard für moderne Zertifikate.

Schlüssel-Algorithmus

Passphrase des privaten Schlüssels (optional)

Privater Schlüssel und CSR werden lokal in deinem Browser generiert. Nichts verlässt dein Gerät.

Was ist ein CSR und wann brauchst du einen?

Zweiter Tab: bestehenden CSR einfuegen, wir dekodieren Subject, SANs und Algorithmus, du kannst ihn vor dem Senden an eine CA verifizieren.

Alles laeuft lokal. Der Private-Key wird im Browser generiert und nie uebertragen.

So nutzt du es

Tab Generate: den Common Name (CN) eintragen, die Hauptdomain fuer das Zertifikat (z. B. example.de).

Organization (O), Unit (OU), City (L), State (ST) und Country (C, ein 2-Buchstaben-ISO-Code: DE, AT, CH) ergaenzen.

Das Feld SANs ist eine komma-getrennte Liste zusaetzlicher Domains (z. B. www.example.de, api.example.de). Die meisten Zertifikate decken mindestens "example.de" und "www.example.de" ab.

Den Algorithmus waehlen: RSA 2048 fuer maximale Kompatibilitaet, ECDSA P-256 fuer Geschwindigkeit und moderne Stacks (Lets-Encrypt-Empfehlung 2025).

Generate klicken, zwei Dateien bekommen: einen CSR (an die CA schicken, z. B. ins Lets-Encrypt-Control-Panel einfuegen) und einen Private-Key (auf dem Server behalten, nie teilen).

Tab Decode: einen bestehenden CSR einfuegen (z. B. von OpenSSL generiert) und Subject, SANs und Algorithmus sehen. Vor dem Senden an eine CA verifizieren.

Wann du es nutzt

Fuenf typische Situationen, in denen du einen CSR generieren musst:

Lets-Encrypt-Zertifikat fuer deinen eigenen Server. Die meisten nutzen certbot/acme.sh (automatische CSRs), bei manuellem Setup oder Sonderfaellen generierst du selbst.
Kommerzielles SSL-Zertifikat von DigiCert, Sectigo, GlobalSign. Bezahlte Zertifikate verlangen immer einen CSR von deinem Server.
**Wildcard-Zertifikat (*.example.de).** CN auf "*.example.de" setzen, um jede Subdomain abzudecken.
Intranet-/Staging-Zertifikat. Der CSR wird von der internen CA deiner Firma signiert.
Zertifikat auf einen neuen Server migrieren. Neuer CSR + neuer Key vermeidet, den alten Key zu exponieren.

Zum Inspizieren eines Live-Zertifikats den SSL-Zertifikats-Pruefer nutzen. Zum Generieren eines JWT-Signing-Keys den JWT-Schluesselpaar-Generator.

Fragen und Antworten

CSR-Generator

Was ist ein CSR und wann brauchst du einen?

So nutzt du es

Wann du es nutzt

Fragen und Antworten

Passende Tools

SSL-Zertifikat-Inspector

PGP-Schlüsselpaar-Generator

JWT-Schlüsselpaar-Generator

DKIM-Schlüsselpaar-Generator

AES Verschlüsseln / Entschlüsseln

CSR-Generator

Was ist ein CSR und wann brauchst du einen?

So nutzt du es

Wann du es nutzt

Fragen und Antworten

Passende Tools

SSL-Zertifikat-Inspector

PGP-Schlüsselpaar-Generator

JWT-Schlüsselpaar-Generator

DKIM-Schlüsselpaar-Generator

AES Verschlüsseln / Entschlüsseln