SSL.de SSL.de

Muss ich für eine Verlängerung einen neuen CSR erstellen?

RapidSSL SSL Zertifikate
Sectigo SSL Zertifikate
Thawte SSL Zertifikate
GeoTrust SSL Zertifikate
DigiCert SSL Zertifikate

Muss ich für eine Verlängerung einen neuen CSR erstellen?

Ja, in der Regel erstellen Sie für jede Verlängerung einen neuen CSR mit einem neuen Schlüsselpaar. Technisch ließe sich der alte CSR zwar wiederverwenden, doch alle gängigen Zertifizierungsstellen und SSL.de empfehlen einen frischen CSR — aus Sicherheits- und Compliance-Gründen.

Eine „Verlängerung" im klassischen Sinn gibt es bei SSL-Zertifikaten ohnehin nicht. Jedes Zertifikat ist eine eigenständige Neuausstellung mit eigener Seriennummer, eigenem Gültigkeitszeitraum und eigener digitaler Signatur. Die Bezeichnung „Verlängerung" beschreibt nur den kommerziellen Vorgang — technisch wird ein neues Zertifikat ausgestellt.

Warum ein neuer CSR sinnvoll ist:

  • Frischer Private Key: Je länger ein Schlüssel im Einsatz ist, desto höher das Risiko, dass er kompromittiert wurde — durch Backups, Server-Migrationen, alte Mitarbeiter mit Zugriff oder Schwachstellen in der Server-Software.
  • Aktuelle Schlüssellänge und -algorithmen: Mit jedem CSR können Sie auf einen modernen Stand wechseln — etwa von RSA 2048 auf RSA 3072 oder ECC P-256/P-384.
  • Compliance: PCI DSS, ISO 27001 und ähnliche Standards verlangen einen dokumentierten Schlüsselwechsel in regelmäßigen Abständen. Ein neuer CSR pro Bestellung erfüllt diese Anforderung automatisch.
  • Saubere Zuordnung: CSR, Private Key und Zertifikat gehören als Set zusammen. Wer pro Bestellung ein neues Set anlegt, vermeidet Verwechslungen bei mehreren parallelen Zertifikaten.

Wann Sie einen neuen CSR zwingend brauchen:

Situation Neuer CSR nötig? Begründung
Domainname ändert sich (Hauptdomain oder SAN) ja Im CSR sind die zu zertifizierenden Domains hinterlegt
Validierungsstufe wechselt (z.B. von DV auf OV) ja Im CSR werden zusätzliche Organisationsdaten benötigt
Schlüssellänge oder -typ ändert sich ja Der Public Key im CSR bestimmt das Zertifikat
Server- oder Hosting-Wechsel empfohlen Neuer Server, neues Schlüsselpaar — sauberer Schnitt
Reine Laufzeitverlängerung, gleiche Domain, gleicher Server technisch nein, empfohlen ja Wiederverwendung möglich, aber Schlüsselrotation entfällt
Re-Issue nach Kompromittierung des Private Keys ja, zwingend Alter Schlüssel ist verbrannt und das Zertifikat muss gesperrt werden

Praktische Empfehlung für die Verlängerung:

  1. Auf dem Server (oder einem sicheren Arbeitsrechner) ein neues Schlüsselpaar erzeugen — RSA 2048+ oder ECC P-256.
  2. Aus dem Private Key einen CSR mit denselben Domains wie zuvor erstellen.
  3. CSR im Kundenbereich einreichen, Validierung durchlaufen.
  4. Neues Zertifikat installieren, parallel zum alten testen, dann umschalten.
  5. Alten Private Key dokumentiert aus dem Backup entfernen, wenn das alte Zertifikat abgelaufen ist.

Beispiel für einen RSA-CSR mit OpenSSL:

openssl req -new -newkey rsa:2048 -nodes -keyout meine-domain.key -out meine-domain.csr

Vor der Einreichung lohnt sich eine Plausibilitätsprüfung: Unser CSR-Check liest den erzeugten CSR aus und zeigt, welche Domains, Organisationsdaten und Schlüsselparameter darin tatsächlich hinterlegt sind — so fallen Tippfehler oder falsche Schlüssellängen vor der Bestellung auf.

Ein Hinweis zur Laufzeit: Mit der schrittweisen Verkürzung der maximalen Zertifikatslaufzeit auf 47 Tage ab März 2029 wird der manuelle CSR-Wechsel pro Bestellung unpraktikabel. Wer mehrere Zertifikate betreibt, sollte den Prozess automatisieren — etwa über ACME-Clients mit DNS-Validierung, die CSR, Schlüsselrotation und Installation in einem Lauf erledigen.

CSR & Einrichtung

Weitere Fragen und Antworten »

SSL Zertifikate

SSL Check

SSL Verschlüsselung

Hilfe und Support

Rechtliches

© 2016-2026 by Gerwan GmbH. Alle Angaben ohne Gewähr.

Alle Preise inkl. MwSt.