什么是CSR
CSR是Certificate Signing Request的英文缩写,即证书签名请求文件。是申请数字证书时需要提交至CA机构审核认证的文件。
当申请者申请数字证书时,申请者将CSR文件提交至Certificate Authority (CA)机构后,CA机构使用其根证书私钥签名,从而就生成了证书公钥文件,即颁发给用户的数字证书。
作用
申请者通过提交CSR文件,用于申请或请求数字证书的签发。
文件样式
CSR文件是以——-BEGIN CERTIFICATE REQUEST——-开头,——-END CERTIFICATE REQUEST——-结尾的base64格式的编码。
编码示例:
——-BEGIN CERTIFICATE REQUEST——-
MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAkNOMQ8wDQYDVQQIDAbkuIrmtbcxDzAN
BgNVBAcMBuS4iua1tzE2MDQGA1UECgwt5LiK5rW35biC5pWw5a2X6K+B5Lmm6K6k
6K+B5Lit5b+D5pyJ6ZmQ5YWs5Y+4MRgwFgYDVQQLDA/miJjnlaXlj5HlsZXpg6gx
kldX980uOP0uxY58VchfgHI524qSn4Xj41CM9L1ZpoVPl8q55ZpvXEuKgx9oQS9h
1QuA91W0xm1+4zbM3MPlXLtWC2X3vLdb8pHUUkdJvlXlvHEoMwDr358zf9Hw5rXt
k2MMAp1eYH4TLzkKTeT38sDH6PHfqWAo5pYc7k221GRB637b+inic6mVoRM/pkch
6uCYXd0uOsHcV/UtrvxRIM3ViQ==
——-END CERTIFICATE REQUEST——-
工作原理
CSR需要由申请者提供包含域名、公司名称、部门、省份、城市、国家等信息,借助相关工具生成,工具同时会生成证书请求文件和私钥文件(私钥文件须自行保存好。其文件样式与CSR文件类似,是以——-BEGIN RSA PRIVATE KEY——-开头,——-END RSA PRIVATE KEY——-结尾的编码。),其中的证书请求文件就是CSR文件,这两个文件是相互匹配的,我们将CSR文件提交给CA申请证书,CA对其签发证书文件。申请人收到证书文件后,将证书文件和私钥文件部署在HTTP服务器上,就可以通过HTTPS方式验证网站是否可信。
信息说明
在CSR文件申请中,需要如实填写数字证书申请者的信息,常见的申请信息有:
通用名(Common Name)
- 申请单域名证书:
若你申请单域名证书,只需填写要绑定的域名即可,如:www.sheca.com。 - 申请泛域名/通配符证书:
若你申请泛域名/通配符证书,则需填写顶级域名且域名前加”.”号。如:*.sheca.com。同理,如需绑定二级域名和这个二级域名下的若干三级域名,则该项填写二级域名加“.”号。 申请多域名/SANs/UCC证书:
若你需要同时绑定很多条域名,如:www.sheca.com、www.gss-sh.org、www.wwwtrust.org等则填写其中任意一个域名作为主域名即可,其余的域名在提交CSR后再次进行添加。企业/姓名(Organization)
申请DV SSL证书:
不用填写。- 申请OV/EV SSL证书:
仅填写企业/单位组织的名称。部门(Organizational Unit)
申请人所在部门的名称。省份(State/Province)
申请者所在地的省/市/自治区名称。城市(Locality)
申请者所在城市的名称。国家(Country)
申请者所在国家的国家代码(CN为中国代码)。