什么是CSR?
CSR(Certificate Signing Request,证书签名请求)是申请数字证书时生成的一个标准化文件。它包含了申请者的公钥以及身份信息(如域名、组织名称、所在地等),并由申请者使用私钥进行数字签名。该文件将提交给证书颁发机构(CA),作为签发SSL/TLS证书的依据。
CSR的作用
向CA机构证明身份并申请证书
CA通过验证CSR中的信息(尤其是域名控制权或企业真实性)来决定是否签发证书。绑定公钥与身份信息
CSR中包含的公钥将被嵌入最终颁发的SSL证书中,确保后续通信中使用的加密密钥对有效且可信。建立PKI信任链的基础环节
在公钥基础设施(PKI)体系中,CSR是连接用户私钥和CA签发证书的关键步骤。
CSR的工作原理
- 用户在服务器或工具(如OpenSSL)上生成一对密钥:私钥(KEY)和公钥。
- 使用公钥及相关身份信息创建CSR文件。
- 将CSR提交给CA机构,CA不接触用户的私钥。
- CA验证信息后,用其根证书私钥对CSR中的公钥进行签名,生成正式的SSL证书。
- 用户获取证书后,将其与原始私钥配合部署在Web服务器上,完成HTTPS配置。
⚠️ 注意:私钥必须严格保密,任何泄露都会导致加密失效。
CSR文件样式示例
-----BEGIN CERTIFICATE REQUEST-----
MIICmDCCAYACAQAwUzELMAkGA1UEBhMCQ04xCzAJBgNVBAgTAnNoMQswCQYDVQQHEwJz
aDENMAsGA1UECxMEdGVzdDEbMBkGA1UEAxMSZGVtby50cnVzcmFzaWEuY29tqS6XFx0Y
rKZm12Rz+3DxAWnCuluYB7xSd5u8wyMMv6SMJn0gwms8874eBAOnm7n0f5C774aCAMmD
WmK9du1n+WQ3ElJIWkrUBollQL78xpW9iOKKa0TDQWI+Htc=
-----END CERTIFICATE REQUEST-----
✅ 文件以
-----BEGIN CERTIFICATE REQUEST-----开头,以-----END CERTIFICATE REQUEST-----结尾,通常保存为.csr扩展名。
如何生成CSR?
常用工具包括:
- OpenSSL(命令行)
- KeyStore Explorer(图形化)
- XCA(开源PKI工具)
- 在线CSR生成器(需注意安全性)
建议避免在不可信的在线工具中输入敏感信息,以防私钥泄露。
推荐相关SSL证书产品
以下是适用于不同场景的SSL证书推荐,可用于完成CSR申请后的证书部署:
| 产品名称 | 参考价格(元) | 适用场景 |
|---|---|---|
| 锐安信vTrus入门级DV SSL证书 | 65 | 适用于个人博客或测试环境,快速验证域名所有权 |
| Sectigo DV SSL证书 | 297 | 适用于中小型网站,性价比高,全球兼容性强 |
| 锐安信DV通配符SSL证书 | 720 | 适用于拥有多个子域名的企业,一键保护所有 *.example.com |
所有上述产品均支持通过标准CSR流程申请与部署。
数据来源:TopSSL产品库
如果您正在准备申请SSL证书,建议先使用可靠的工具生成CSR和私钥,并妥善保管私钥文件,这是保障HTTPS安全的第一步。
京公网安备11010502031690号
网站经营企业工商营业执照
