什么是 CSR?

证书签名请求 (CSR)是从申请人发送到 证书颁发机构(CA) 如SSL.com申请数字证书。它包含将包含在证书中的信息,例如组织名称、通用名称(域名)、地点和国家/地区,以及将包含在证书中的公钥。

当您创建一个 CSR,您实质上是在请求受信任的 CA 颁发数字证书来验证您的网站或组织的身份。这 CSR 使用相应的私钥进行签名,证明您拥有私钥并保证私钥的完整性 CSR 数据。

CSR 格式由 PKCS 指定 #10 标准,定义了认证请求的语法。

目的 CSR:

  • 认证: 主要目的 CSR 是向CA提供颁发数字证书所需的信息。 CA 验证其中的信息 CSR 如果获得批准,则颁发签名证书来验证请求者的身份。
  • 加密:本 CSR 保存将颁发的证书的公钥。该密钥用于在 SSL/TLS 通信,确保客户端和服务器之间的安全数据传输。
  • 诚信:本 CSR 使用相应的私钥进行签名,确保数据中包含的数据的完整性 CSR。该签名还证明请求者拥有与公钥相关联的私钥。 CSR.

CSR 产生过程

  1. 密钥对生成:申请人使用加密算法(例如RSA、ECC)生成公钥-私钥对。私钥由申请人保管,而公钥包含在 CSR.
  2. CSR 创建:申请人创建一个 CSR 包含公钥和其他标识信息(例如公用名称、组织和位置)的文件。这 CSR 通常使用 Base-64 进行编码,这是一种用 ASCII 文本表示二进制数据的标准格式。
  3. CSR 服从:申请人提交 CSR 到受信任的 CA 进行验证和证书颁发。
  4. 验证发行:CA 验证中的信息 CSR 如果获得批准,则颁发一个签名的数字证书,其中包含来自 CSR.
  5. 哪些信息包含在 CSR?

创建标识时输入的一组标识信息 CSR 称为主题 DN(专有名称)。例如,一个 CSR 用于SSL /TLS 证书可能包含以下字段:

  • 通用名称(CN): 完全合格的域名(FQDN) 证书旨在保护的网站的名称。
  • 组织(O):公司或组织的名称。
  • 城市/地区 (L):城市或城镇的名称。
  • 州/省 (S):州或省的名称。
  • 国家(C): 两个字母 国家代码.
  • 电子邮件地址 (E):与证书请求关联的电子邮件地址。

请注意,提交 SSL.com 时,仅需要“通用名称”字段 CSR 用于SSL /TLS 证书,其他可选。有关通用名称的更多信息,请参阅此 常见问题。 一个 CSR 还包含一个 公钥,并且可能包括 SAN条目 以及受证书保护的其他域名。

什么是 CSR 看起来像?

A CSR 通常使用 Base-64 进行编码,这是一种用 ASCII 文本表示二进制数据的标准格式。 Base-64 编码 CSR 看起来像一长串随机字符,类似于下面的示例:

-----BEGIN CERTIFICATE REQUEST----- MIIC3DCCAcQCAQAwgZUxCzAJBgNVBAYTAlVTMREwDwYDVQQIDAhOZXcgWW9yazEQ MA4GA1UEBwwHQnVmZmFsbzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMRswGQYDVQQD DBJ3d3cuZXhhbXBsZWNvcnAuY29tMSkwJwYJKoZIhvcNAQkBFhpqb2huLmRvZUBl eGFtcGxlY29ycC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDI Xm5nxIO8BQC/kFF6QVPGTKxJch+fUUI3y4TfEPXpsJItVhvb33B8ShlOz9usqzL+ f0NVIMMhJZVSfsTRjD6VJSSHj2XlqXQYKJ0Cw7c1x571sSM6LaPg/27TzdBs+YFH PXdYSKZfPjXyxEKDkilSIFgJ8bEVcB6Kr0oN4Zh75HrFXQrEf+rHX2o6ynOcGdVR k4mXJK4w7zFcc+Xs8Qf73/0tnLd/yMqUJVEpLHQCMWPPK8/M6S0rEP10Csfg5Rdv H7Z79gfmO/5JDn1q8+eIplZSmuEbwdGhbiz/UXyQkhlN2fFqzepTrB1+UcMpgnpD 4Zmh3ABbiVX8w/Gh941JAgMBAAGgADANBgkqhkiG9w0BAQsFAAOCAQEAcdIfbPXw A57RGLF1ARjX7BmsHjrxzJhL9zLu/cHyZwTkyLvFpExsYPXcSNVhZzvzvwL40HDJ lFEOUDTHFHC0uO27d0pdYzVh7yfC+pgpcxBAiV+pgDgguXCGkcQft44zTv2RLeUp uoXihz0hNnW3OQtSszTrdhOoTeKR0FIC0al9wMe0+BrJOYSMkQQE5bO1OPM3foUi jp+Nj0JjW4KxGAqozTYRmBH+rQCDt7r94fPRB8TImFCWaFhRoVFcjTqpSjDCFLKg g6NlSJWB2gXpRs3aUJtd+4JCDLNz5cxC9Hhs7eQaJFtdJw/nLzrcUB/TSTZjVQua oYg9qEohynx0kQ== -----END CERTIFICATE REQUEST-----

创建 CSR

要创建 CSR,您首先需要生成一个私钥。许多 Web 服务器和运行时环境,例如 Internet 信息服务 (IIS),都具有 CSR 内置生成功能。生成私钥的另一种方法是使用 OpenSSL 命令行工具。

生成私钥后,您可以使用它来创建 CSR 文件。 的 CSR 文件也可以使用 OpenSSL 命令行工具生成。

生成后 CSR,您必须将其提交给证书颁发机构 (CA)。 CA 将使用 CSR 请求创建 SSL/TLS 您网站的证书。

安装证书

收到后 SSL /TLS 从 CA 获得证书,下一步是 将其安装在您的服务器上。确切的安装过程可能会有所不同,具体取决于服务器类型和所使用的软件,但通常涉及将证书文件复制到服务器并将服务器配置为使用 SSL/TLS 通过更新相关配置文件并重新启动服务器来获取证书。

综上所述

A CSR 是数字证书颁发过程的重要组成部分。它向 CA 提供必要的信息,以验证请求者的身份并颁发签名证书,以实现客户端和服务器之间的安全通信。通过了解项目的目的、内容和生成过程 CSR,可以保证您顺利、安全的证书颁发体验。详细解释 如何生成一个 CSR 手动使用 OpenSSL 命令,请参阅我们的信息指南。

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。