证书签名请求文件(CSR)是你申请数字证书时,需要提交至CA机构审核认证的文件。本文详细阐述了CSR文件的概念、作用、工作原理等信息,帮助你形象地了解此文件样式,以及它的必要性。

什么是CSR

CSR是Certificate Signing Request的英文缩写,即证书签名请求文件。

当申请者申请数字证书时,CSP(加密服务提供者)生成私钥,同时也生成了CSR文件。申请者将CSR文件提交至Certificate Authority (CA)机构后,CA机构使用其根证书私钥签名,从而就生成了证书公钥文件,即颁发给用户的数字证书。

作用

申请者通过CSR文件,向CA机构申请数字证书。获取证书后,就能证明申请者的网站是可信的,数据传输是加密的。

工作原理

CSR需要由申请人提供域名、公司名称、部门、省份、城市、国家借助相关工具生成,工具同时会生成证书请求文件和私钥文件,其中的证书请求文件就是CSR文件,这两个文件是相互匹配的,我们将CSR文件提交给CA申请证书,CA对其签发成证书文件,申请人收到证书文件后,将证书文件配合私钥文件转化成服务器对应的格式的文件部署在HTTP服务器上面,这样我们的网站就可信了。

文件样式

CSR文件是以-----BEGIN CERTIFICATE REQUEST-----开头,-----END CERTIFICATE REQUEST-----结尾的base64格式的编码。复制此段内容并粘贴到txt文本里,然后保存为.csr文件,即CSR文件。

-----BEGIN CERTIFICATE REQUEST-----
MIICmDCCAYACAQAwUzELMAkGA1UEBhMCQ04xCzAJBgNVBAgTAnNoMQswCQYDVQQH
EwJzaDENMAsGA1UECxMEdGVzdDEbMBkGA1UEAxMSZGVtby50cnVzcmFzaWEuY29t
qS6XFx0YrKZm12Rz+3DxAWnCuluYB7xSd5u8wyMMv6SMJn0gwms8874eBAOnm7n0
f5C774aCAMmDWmK9du1n+WQ3ElJIWkrUBollQL78xpW9iOKKa0TDQWI+Htc=
-----END CERTIFICATE REQUEST-----

注意:与CSR文件匹配的KEY文件是你私钥信息,须自行保存好。KEY文件的样式与CSR文件类似,是以-----BEGIN RSA PRIVATE KEY-----开头,-----END RSA PRIVATE KEY-----结尾的编码。

信息说明

在CSR文件申请中,需要如实填写申请企业的信息,常见的申请有:

通用名(Common Name)

  • 申请单域名证书:
    若你申请单域名证书,只需填写要绑定的域名即可,如:www.domain.com
  • 申请泛域名/通配符证书:
    若你申请泛域名/通配符证书,则需填写顶级域名且域名前加"."号。如:*.abc.com。同理,如需绑定二级域名和这个二级域名下的若干三级域名,则该项填写二级域名加“.”号。
  • 申请多域名/SANs/UCC证书:
    若你需要同时绑定很多条域名,如:www.domain.coma.comb.com,则填写其中任意一个域名作为主域名即可,其余的域名在提交CSR后再次进行添加。

注意:提交至CA时,需要将其它域名另行告知证书申请机构。

企业/姓名(Organization)

  • 申请个人证书/DV SSL证书:
    填写网站域名的英文、中文或拼音名称、个人英文名/拼音名称。
  • 申请企业证书/OV/EV SSL证书:
    仅填写企业/单位组织的英文、中文或拼音名称。

部门(Organizational Unit)

申请人所在部门的英文或拼音全称。如:IT

省份(State/Province)

你或企业所在地的省/市/自治区英文或拼音全称。如:Shanghai

城市(Locality)

你或企业所在城市的英文或拼音全称。如:Shanghai

国家(Country)

你或企业所在国家的英文或两位大写国家代码。如:CN

如何生成

CSR文件的生成工具非常多,如:OpenSSL、KeyStore Explore、XCA、CSR在线生成工具等。详细参阅CSR文件生成工具集合