คำขอลงนามใบรับรอง (CSR) เป็นข้อความเข้ารหัสที่ส่งจากผู้สมัครถึง ผู้ออกใบรับรอง (CA) เช่น SSL.com เพื่อขอใบรับรองดิจิทัล ประกอบด้วยข้อมูลที่จะรวมอยู่ในใบรับรอง เช่น ชื่อองค์กร ชื่อสามัญ (ชื่อโดเมน) ท้องที่ และประเทศ รวมถึงคีย์สาธารณะที่จะรวมอยู่ในใบรับรอง
เมื่อคุณสร้างไฟล์ CSRคุณกำลังขอให้ CA ที่เชื่อถือได้ออกใบรับรองดิจิทัลที่ยืนยันตัวตนของเว็บไซต์หรือองค์กรของคุณ ที่ CSR ได้รับการลงนามด้วยรหัสส่วนตัวที่เกี่ยวข้อง ซึ่งพิสูจน์ว่าคุณมีรหัสส่วนตัวและรับประกันความสมบูรณ์ของ CSR ข้อมูล
บริษัท CSR รูปแบบที่กำหนดโดย PKCS #10 มาตรฐาน ซึ่งกำหนดไวยากรณ์สำหรับการร้องขอการรับรอง
วัตถุประสงค์ของก CSR:
- การยืนยันตัวตน: จุดประสงค์หลักของการก CSR คือการให้ข้อมูลที่จำเป็นแก่ CA เพื่อออกใบรับรองดิจิทัล CA ตรวจสอบข้อมูลใน CSR และหากได้รับการอนุมัติ ก็จะออกใบรับรองที่ลงนามซึ่งรับรองความถูกต้องของตัวตนของผู้ร้องขอ
- การเข้ารหัสลับ: CSR ถือกุญแจสาธารณะสำหรับใบรับรองที่จะออก คีย์นี้ใช้เพื่อเข้ารหัสข้อมูลที่ละเอียดอ่อนระหว่าง SSL/TLS การสื่อสารเพื่อให้มั่นใจในการส่งข้อมูลที่ปลอดภัยระหว่างไคลเอนต์และเซิร์ฟเวอร์
- ความสมบูรณ์: CSR ได้รับการลงนามด้วยรหัสส่วนตัวที่เกี่ยวข้องเพื่อให้มั่นใจในความสมบูรณ์ของข้อมูลที่มีอยู่ภายใน CSR- ลายเซ็นนี้ยังพิสูจน์ว่าผู้ร้องขอครอบครองรหัสส่วนตัวที่เกี่ยวข้องกับรหัสสาธารณะใน CSR.
CSR กระบวนการสร้าง
- การสร้างคู่คีย์: ผู้สมัครสร้างคู่คีย์สาธารณะ-ส่วนตัวโดยใช้อัลกอริธึมการเข้ารหัส (เช่น RSA, ECC) คีย์ส่วนตัวจะถูกเก็บไว้อย่างปลอดภัยโดยผู้สมัคร ในขณะที่คีย์สาธารณะจะรวมอยู่ใน CSR.
- CSR การสร้าง: ผู้สมัครสร้าง CSR ไฟล์ที่มีคีย์สาธารณะและข้อมูลระบุตัวตนอื่นๆ เช่น ชื่อสามัญ องค์กร และท้องถิ่น ที่ CSR โดยทั่วไปจะถูกเข้ารหัสโดยใช้ Base-64 ซึ่งเป็นรูปแบบมาตรฐานสำหรับการแสดงข้อมูลไบนารีในข้อความ ASCII
- CSR ส่ง: ผู้สมัครยื่นแบบ CSR ไปยัง CA ที่เชื่อถือได้สำหรับการตรวจสอบและการออกใบรับรอง
- การตรวจสอบและการออก: CA ตรวจสอบข้อมูลใน CSR และหากได้รับการอนุมัติ จะออกใบรับรองดิจิทัลที่ลงนามซึ่งรวมถึงกุญแจสาธารณะจาก CSR.
- ข้อมูลใดบ้างที่รวมอยู่ในไฟล์ CSR?
ชุดข้อมูลระบุตัวตนที่ป้อนเมื่อสร้างไฟล์ CSR เป็นที่รู้จักกันในชื่อ Subject DN (Distinguished Name) ตัวอย่างเช่น ก CSR สำหรับ SSL /TLS ใบรับรองอาจมีฟิลด์ต่อไปนี้:
- ชื่อสามัญ (CN): บริษัท ชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ใบรับรองมีวัตถุประสงค์เพื่อปกป้องเว็บไซต์
- องค์กร (O): ชื่อบริษัทหรือองค์กร
- เมือง/ท้องที่ (L): ชื่อเมืองหรือเมือง
- รัฐ/จังหวัด (S): ชื่อรัฐหรือจังหวัด
- ประเทศ (C): ตัวอักษรสองตัว รหัสประเทศ.
- ที่อยู่อีเมล (E): ที่อยู่อีเมลที่เกี่ยวข้องกับคำขอใบรับรอง
โปรดทราบว่า SSL.com กำหนดให้ระบุเฉพาะฟิลด์ชื่อสามัญเมื่อส่ง a CSR สำหรับ SSL /TLS ใบรับรองและอื่น ๆ เป็นทางเลือก สำหรับข้อมูลเพิ่มเติมเกี่ยวกับชื่อสามัญ โปรดดูที่นี้ คำถามที่พบบ่อย. CSR ยังมีไฟล์ คีย์สาธารณะและอาจรวมถึง รายการ SAN ด้วยชื่อโดเมนเพิ่มเติมที่จะได้รับการคุ้มครองโดยใบรับรอง
อะไร CSR ดูเหมือน?
A CSR โดยทั่วไปจะถูกเข้ารหัสโดยใช้ Base-64 ซึ่งเป็นรูปแบบมาตรฐานสำหรับการแสดงข้อมูลไบนารีในข้อความ ASCII เข้ารหัส base-64 แล้ว CSR จะมีลักษณะเป็นแถวยาวของอักขระสุ่ม คล้ายกับตัวอย่างด้านล่าง:
-----BEGIN CERTIFICATE REQUEST----- MIIC3DCCAcQCAQAwgZUxCzAJBgNVBAYTAlVTMREwDwYDVQQIDAhOZXcgWW9yazEQ MA4GA1UEBwwHQnVmZmFsbzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMRswGQYDVQQD DBJ3d3cuZXhhbXBsZWNvcnAuY29tMSkwJwYJKoZIhvcNAQkBFhpqb2huLmRvZUBl eGFtcGxlY29ycC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDI Xm5nxIO8BQC/kFF6QVPGTKxJch+fUUI3y4TfEPXpsJItVhvb33B8ShlOz9usqzL+ f0NVIMMhJZVSfsTRjD6VJSSHj2XlqXQYKJ0Cw7c1x571sSM6LaPg/27TzdBs+YFH PXdYSKZfPjXyxEKDkilSIFgJ8bEVcB6Kr0oN4Zh75HrFXQrEf+rHX2o6ynOcGdVR k4mXJK4w7zFcc+Xs8Qf73/0tnLd/yMqUJVEpLHQCMWPPK8/M6S0rEP10Csfg5Rdv H7Z79gfmO/5JDn1q8+eIplZSmuEbwdGhbiz/UXyQkhlN2fFqzepTrB1+UcMpgnpD 4Zmh3ABbiVX8w/Gh941JAgMBAAGgADANBgkqhkiG9w0BAQsFAAOCAQEAcdIfbPXw A57RGLF1ARjX7BmsHjrxzJhL9zLu/cHyZwTkyLvFpExsYPXcSNVhZzvzvwL40HDJ lFEOUDTHFHC0uO27d0pdYzVh7yfC+pgpcxBAiV+pgDgguXCGkcQft44zTv2RLeUp uoXihz0hNnW3OQtSszTrdhOoTeKR0FIC0al9wMe0+BrJOYSMkQQE5bO1OPM3foUi jp+Nj0JjW4KxGAqozTYRmBH+rQCDt7r94fPRB8TImFCWaFhRoVFcjTqpSjDCFLKg g6NlSJWB2gXpRs3aUJtd+4JCDLNz5cxC9Hhs7eQaJFtdJw/nLzrcUB/TSTZjVQua oYg9qEohynx0kQ== -----END CERTIFICATE REQUEST-----
การสร้าง CSR
เพื่อสร้าง CSRคุณจะต้องสร้างรหัสส่วนตัวก่อน เว็บเซิร์ฟเวอร์และสภาพแวดล้อมรันไทม์จำนวนมาก เช่น Internet Information Services (IIS) มี CSR ความสามารถในการสร้างในตัว อีกวิธีหนึ่งในการสร้างคีย์ส่วนตัวคือการใช้เครื่องมือบรรทัดคำสั่ง OpenSSL
เมื่อคุณสร้างคีย์ส่วนตัวแล้ว คุณสามารถใช้มันเพื่อสร้างได้ CSR ไฟล์. CSR ไฟล์ยังสามารถสร้างได้โดยใช้เครื่องมือบรรทัดคำสั่ง OpenSSL
เพื่อตรวจสอบข้อมูลสำคัญภายในของคุณ CSRใช้ของเรา CSR ถอดรหัส ก่อนยื่นขอใบรับรอง SSL
หลังจากสร้างและตรวจสอบแล้ว CSRคุณต้องส่งไปยังผู้ออกใบรับรอง (CA) CA จะใช้ข้อมูลในการ CSR ขอสร้าง SSL/TLS ใบรับรองสำหรับเว็บไซต์ของคุณ
การติดตั้งใบรับรอง
เมื่อได้รับ SSL /TLS ใบรับรองจาก CA ขั้นตอนต่อไปคือการ ติดตั้งบนเซิร์ฟเวอร์ของคุณ- กระบวนการติดตั้งที่แน่นอนอาจแตกต่างกันไปขึ้นอยู่กับประเภทของเซิร์ฟเวอร์และซอฟต์แวร์ที่ใช้ แต่โดยทั่วไปจะเกี่ยวข้องกับการคัดลอกไฟล์ใบรับรองไปยังเซิร์ฟเวอร์และการกำหนดค่าเซิร์ฟเวอร์เพื่อใช้ SSL/TLS ใบรับรองโดยการอัพเดตไฟล์การกำหนดค่าที่เกี่ยวข้องและรีสตาร์ทเซิร์ฟเวอร์
สรุป
A CSR เป็นองค์ประกอบสำคัญของกระบวนการออกใบรับรองดิจิทัล โดยจะให้ข้อมูลที่จำเป็นแก่ CA เพื่อตรวจสอบตัวตนของผู้ร้องขอและออกใบรับรองที่ลงนามซึ่งช่วยให้เกิดการสื่อสารที่ปลอดภัยระหว่างไคลเอนต์และเซิร์ฟเวอร์ โดยเข้าใจวัตถุประสงค์ เนื้อหา และกระบวนการสร้างของ CSRคุณสามารถมั่นใจได้ว่าประสบการณ์การออกใบรับรองจะราบรื่นและปลอดภัย สำหรับคำอธิบายโดยละเอียดของ วิธีการสร้าง CSR ด้วยตนเองด้วยคำสั่ง OpenSSLโปรดดูคู่มือข้อมูลของเรา