共计 2391 个字符,预计需要花费 6 分钟才能阅读完成。
CSR (Certificate Signing Request),即证书签名请求文件,是证书申请者在申请数字证书时由 CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把 CSR 文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。
需要生成 CSR 文件并提交给证书颁发机构(CA)。CSR 包含了用于签发证书的公钥、用于辨识的名称信息(Distinguished Name)(例如域名)、真实性和完整性保护(例如数字签名),通常从 Web 服务器生成 CSR,同时创建加解密的公钥私钥对。
Before you can order an SSL certificate, it is recommended that you generate a Certificate Signing Request (CSR) from your server or device. Learn more about SSL certificates »
A CSR is an encoded file that provides you with a standardized way to send DigiCert your public key as well as some information that identifies your company and domain name. When you generate a CSR, most server software asks for the following information: common name (e.g., www.example.com), organization name and location (country, state/province, city/town), key type (typically RSA), and key size (2048-bit minimum).
If you aren’t sure of the exact company name or location when you generate the CSR, don’t worry; we can change and finalize that information during our review process before we issue the certificate.
Once your CSR is created, you’ll need to copy and paste it into the online order form when you go to purchase your SSL certificate.
在创建 CSR 过程中,需要提供相关组织机构信息,Web 服务器会根据提供的信息创建证书的标识名称,用来识别证书,内容如下:
- 国家或地区代码 您的组织机构依法注册所在的国家或地区的代码,以国际标准化组织(ISO)的两字母格式表示。
- 省或市或自治区 您的组织机构所在的省或市或自治区。
- 城市或地区 您的组织机构注册所在的城市或地区。
- 组织机构 您的企业依法注册所用的名称。
- 组织机构单位 此字段用于区分组织机构中的各部门,例如 “工程部” 或 “人力资源部”。
- 通用名称 在 CSR 的通用名称字段中输入的名称必须是您要为其使用证书的网站的完全限定域名(FQDN),例如 “www.example.com”。
申请数字证书之前,您需要准备生成证书的密钥文件和 CSR 文件。CSR 文件是您的公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给 CA 认证中心进行审核。建议您使用系统创建的 CSR 文件,避免出现输入信息错误而导致审核失败。若您选择手动生成 CSR 文件,请务必妥善保管并备份您的密钥文件,手动生成 CSR 文件时需要注意以下信息:
输入的中文信息需要使用 UTF-8 编码格式,请在编辑 OpenSSL 工具时,指定支持 UTF-8 编码格式。
证书服务系统对 CSR 文件的密钥长度有严格要求,密钥长度必须是 2048bit,密钥类型必须是 RSA。
如果申请证书是多域名或者通配子域名,在 Common Name 或 What is your first and last name? 区域只需要输入一个域名。
使用 OpenSSL 工具生成 CSR 文件
- 登录运行 Linux 系统的一台本地计算机或服务器。
- 安装 OpenSSL 工具
执行以下命令,即可生成 CSR 文件。
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout $Key_File -out $OpenSSL_CSR
- new:指定生成一个新的 CSR 文件。
- nodes:指定密钥文件不被加密。
- sha256:指定摘要算法。
- newkey rsa:2048:指定密钥类型和长度。
- $Key_File:密钥文件名称。
- $OpenSSL_CSR:加密后文件的存放路径。
根据系统返回的提示,输入生成 CSR 文件所需的信息。
以下是关于提示的说明:
- Country Name(2 letter code): JP,申请单位所属国家,只能是两个字母的国家码。例如,中国填写为 CN。
- State or Province Name(full name)[Some-State]: Tokyo,州名或省份名称,可以是中文或英文。
- Locality Name(eg, city)[]: Shinagawa,城市名称,可以是中文或英文。
- Organization Name(eg, company) [Internet Widgits Pty Ltd]:公司名称,可以是中文或英文。
- Organizational Unit Name:部门名称,可以是中文或英文。
- Common Name:申请 SSL 证书的具体网站域名。
- Email Address:可选择不输入。
- Challenge Password:可选择不输入。
按照命令提示输入相应内容后,即可在当前目录下获取密钥文件和 CSR 文件。
related
- [[生成一个 CSR 在 Azure key vault 中安装证书]]
- [[数字证书颁发流程]]
