CSR:SSL证书的孵化器
申请证书的必备要求
CSR:证书签名请求。是所有SSL证书诞生的第一步,所有证书必备。也许太多数用户对CSR并不了解,但是在申请SSL证书的过程中就会对此一目了然。
什么是CSR
CSR就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。
CSR包括证书颁发机构(也称CA、即颁发SSL证书的机构)需要创建SSL证书信息的文件,CSR的目的是为CA机构提供信息的标准化方式。
CSR包含三个部分:
公用密钥
域名。
申请者信息:申请证书的组织/网站的信息(包括合法注册的名称以及其注册的城市/州/国家)。
公用密钥
公用密钥也称公钥,是一种加密密钥,是SSL证书使用的“密钥对”的一半,用于信息加密发送到服务器。创建CSR时,同时创建密钥对。公钥是在CSR和SSL证书中,允许用户安全连接到服务器站点,进行数据传输。
密钥对的另一半是私钥,也是与CSR同时创建的,但它不属于CSR。私钥是一个单独的文件,通常是.key格式。私钥是用来解密公钥加密的数据。因此,私钥是申请者所有,一定不要把它发给CA机构或者其他人。在安装证书的时候,就会用到密钥。
域名
SSL证书的主机名是根据申请域名而命名,域名一般分为主域名和二级域名。例如“www.example.com”或“mail.example.co.uk”。
有一些证书是允许一个证书保护多个域名,这些证书一般为多域名SSL证书或者通配符SSL证书。但是对于证书提供商,申请者的CSR仅包含一个域名,其余域名将会在订单表中指定。
申请者信息
最后,CSR的信息还包括了申请者的信息,如电子邮箱,注册的名称和地址。如果企业组织机构购买的证书是”OV”或”EV”证书,申请证书的域名必须是以该企业名义申请的域名,这些信息都会在证书中展示。但是,并不是所有的证书都会显示企业名称。如果名称不对,企业信息栏将会为空。
上述的信息通常是以“PEM”的格式,下面是一个CSR的例子:
–BEGIN CERTIFICATE REQUEST–
MIIDFzCCAf8CAQAwgagxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdGbG9yaWRhMRcw
FQYDVQQHEw5TdC4gUGV0ZXJzYnVyZzEUMBIGA1UEChMLRXhhbXBsZSBJbmMxFjAU
BgNVBAsTDVVTIE9wZXJhdGlvbnMxGDAWBgNVBAMTD3d3dy5leGFtcGxlLmNvbTEm
MCQGCSqGSIb3DQEJARYXZXhhbXBsZUB0aGVzc2xzdG9yZS5jb20wggEiMA0GCSqG
SIb3DQEBAQUAA4IBDwAwggEKAoIBAQCgMpvQgGEMWy7jozVf + tiCDmWmuHlW0zhL
OtLgBOOsgsv1c2i37 / zgbcN4OyJHKEmftoYQiCwZ7wVh2UA9bBlwl4 / Bsr1uNXhr
i5qlT2MXP5isKQkinr0W + cysjhi1wYJo + KohmZMUEHDYMRATG6lMXLnukK1cduNw
Jb81Cc6CPgrkDK / zfBe8hvmfj92NS9uwhQiHp2lIVHx + cf2RbHDTmPzdeSgLQ79s
H1Pgj26 + PbJ5havtidd / LrfMVRLArI / PrJf2msoNHqVifEnjEk7eDeuB0O7k2bEh
eluiTmK9 + 1Ofh70NFyKYRV0dEAs3t6vjIG2WUYjC5 + sWeZDPSJaNAgMBAAGgKTAn
BgkqhkiG9w0BCQ4xGjAYMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgXgMA0GCSqGSIb3
DQEBCwUAA4IBAQAk + 3055XmnjaE0bicZPERagpq1897WvFPSx71kU498J1lBdYbz
RZA / E / 5TC + uqmX6XVEMoGoj69fPF + khgG0vPWdTH0q13lSV / KyKL5qOR9M3 / 9LXH
MG + F4YgTj1QHFVsnQ4gXH91PD7C4fqVV310ETW1qa91QVZu + AD0TWSdD2C9bN7lr
aUw7n605LVhZXcQSh4die7IYVhp3uiHsQvHIJj + NnH18FefxhcVmtLoVWvu0uilj
qIfg / hgJwDPMi4n49GkhdSqwYc // 2yQOiMRCEDPLSyGbiARnWA / l0F + 8VzrUtYc3
ltpinEz8C9QddgW2KjcA3NPSQotiXh0D8Tk0
–END CERTIFICATE REQUEST–
CSR来自哪里?
通常,CSR是在Web服务器上创建的,不同服务器的操作系统其生成CSR的方式也是不一样的,在Windows / IIS,cPanel和Plesk上,就需要借助工具,在NGINX / Apache上,使用命令行。
通常这种情况,申请者是无法自行创建CSR,这种情况CA机构将会要求申请者提供“共享”虚拟主机。申请者还需要填写企业社会责任书。
创建CSR后,申请者需要将CSR复制到CA机构的订单中。CA机构将会根据CSR的信息审核验证,然后生成证书并向申请者颁发证书。颁发证书的时间会根据不同的证书而有所不同。
虽然在接收SSL证书时,不再需要CSR文件。但仍建议申请者保存好自己的CSR文件。因为在证书需要重新颁发的时候,仍会使用CSR重新申请颁发。如果一旦丢失,也不许太担心,因为可以在服务器中重新生成一个新的CSR文件。