什么是CSR以及CSR的作用和生成
说起SSL证书的时候,势必会提到CSR这么一个词汇,本文就围绕CSR是什么,什么样,如何生成等内容做个详细的说明。
CSR是什么
CSR是Certificate Signing Request的英文缩写,即证书签名请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。
CSR什么样
CSR是以—–BEGIN CERTIFICATE REQUEST—–开头,—–END CERTIFICATE REQUEST—–为结尾的base64格式的编码。将其保存为文本文件,就是所谓的CSR文件。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| -----BEGIN CERTIFICATE REQUEST-----
MIICtTCCAZ0CAQAwcDELMAkGA1UEBhMCQ04xETAPBgNVBAgTCFpoZWppYW5nMREw
DwYDVQQHEwhoYW5nemhvdTEPMA0GA1UEChMGbGFvc2FuMRAwDgYDVQQLEwdJVCBE
ZXB0MRgwFgYDVQQDEw9ibG9nLmxhb3Nhbi54aW4wggEiMA0GCSqGSIb3DQEBAQUA
A4IBDwAwggEKAoIBAQCqg6DE2xLPN1P2dpVUnHyZ6ezSsKCAkWGhskg1j8ak7yMB
IFn2gmuyzgKhLKd+tfRTF2dDPHWb8WkVHKKWKgEwgTwQzF1rZt/me6AgOtHAlqK3
gKmycSx3Ubnrr+GIb/A+A31GIC+6kZj8A/+D5qsQxTQv6CO/VVHxB+d43XGjnpW6
o0cxwco15jZI4Q4q5fyfzFfpACsDoaOEjnq7iPXWrOYee0sMa9VEU5/n+/OuVbxS
Qe45c1B3T7+WN/3+WAcNvhx4KB9IWbaIN+CgVgxNrwPjIB/jYmOuIQ+i+4uBwFWF
H9UAxoEY716bHuZezgTZr8j62qd+FSfrPdFMst4bAgMBAAGgADANBgkqhkiG9w0B
AQsFAAOCAQEAj9/1dmtqoI4hgDNvIDO+87M/irU62TYZ5Et4c1FP+NsJQQCEE76h
Y4+riNo21MGBz92aPGSC/G01qmiF2JVJE2a+XF/iU5UZu+28bzz3MEw7BLlQOQEP
yxElF7q8KH+16JIWUQsNIhbOG/97R4g+0LIXjcY/DYObmDG60QkF9Khl16OLgBdo
TvFNJQfW20sZBvPUHnaGHVJsEydAEYVKW8GLb1ahnB1Inb+uPGOD/gHoLPV+HNlm
G1F/5bHa3XK9krKgP4byIWwdZgpebBOs68GCM+LGDtfIKcc4BRd34PZmbSZjM19l
46aUXjTF5ylGw+/Mv4/aeW9f8VE2MeGPOw==
-----END CERTIFICATE REQUEST-----
|
CSR如何生成
目前,CSR生成工具非常多,比如openssl工具,keystore explore,XCA等,这里介绍一款在线工具:https://myssl.com/csr_create.html
这里有几个关键的要注意下:
- 域名必须正确输入(如果是非SSL证书,则输入相应的通用名)。
- 密钥算法选择RSA的话,密钥长度需要2048bit以上(这个默认是2048,没有特殊情况,不要特殊设置);ECC则是256bit以上。
- 摘要签名虽说目前可以任意,但建议是sha2-256以上。
CSR生成注意事项
匹配的KEY必须保存:
有CSR必定有KEY,是成对的,CSR最终变成为证书,和私钥key配对使用。Key是以—–BEGIN RSA PRIVATE KEY—–开头的,—–END RSA PRIVATE KEY—–结尾的。Key必须保存好。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| -----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
|
CSR生命周期
证书下发后,CSR无需使用,仅提交时候需要。
参考资料
什么是CSR以及CSR的作用和生成