什么是证书签名请求（CSR）？-TopSSL

什么是证书签名请求（CSR）？

证书签名请求（Certificate Signing Request, CSR）是申请 SSL 证书时生成的一个标准化文本文件，包含申请者的公钥和身份信息。CA 在签发证书前必须验证 CSR 中的信息，确保其格式符合 PKCS#10 规范，并与最终颁发的 ssl证书内容一致。CSR 本身不包含私钥，但必须使用与之配对的私钥进行签名，以证明申请者对公钥的控制权。

生成 CSR 是部署 HTTPS 的第一步，通常在服务器或密钥管理工具中完成。主流 Web 服务器如 Apache、Nginx、IIS 均支持通过 OpenSSL 或内置命令生成 CSR。其核心字段包括：Common Name（CN，即域名）、Organization（O）、Organizational Unit（OU）、Locality（L）、State（ST）和 Country（C）。其中，CN 字段在单域名证书中代表主域名，在通配符证书中可表示为 *.example.com。

CSR 的合法性由 CA 依据 CA/B Forum Baseline Requirements 进行校验。若申请 OV SSL证书或 EV SSL证书，CA 还需人工审核组织信息的真实性。DV 证书则仅验证域名控制权，通常通过 HTTP 文件响应或 DNS 记录完成。

当前时间是 (东8区) 北京时间：2026年1月22日，星期四。

CSR 的结构与编码

CSR 采用 ASN.1 格式编码，常见输出为 PEM 格式，以 -----BEGIN CERTIFICATE REQUEST----- 开头，-----END CERTIFICATE REQUEST----- 结尾。可通过 openssl req -noout -text -verify 命令解析其内容。关键部分包括： - Subject：标识申请实体的身份信息 - Public Key Info：包含算法类型（如 RSA 2048、ECDSA P-256）和公钥数据 - Signature Algorithm：用于签署 CSR 的算法（如 sha256WithRSAEncryption）

任何字段错误（如域名拼写错误或组织单位缺失）都将导致 CA 拒绝签发。因此，在提交前应使用 ssl证书工具验证 CSR 内容。

安全风险与最佳实践

私钥应在本地安全环境中生成，避免在第三方平台输入私钥。一旦私钥泄露，攻击者可伪造 TLS 握手过程，即使证书未被吊销仍可能导致中间人攻击。建议使用强密钥长度（RSA 至少 2048 位，推荐 3072；ECDSA 使用 P-256 及以上），并在生成后妥善备份。

对于多域名场景，可在 CSR 中通过 subjectAltName（SAN）扩展字段列出所有域名。此时应选择多域名SSL证书而非多个单域名证书，以降低管理复杂度。通配符证书的 CSR 应明确标注 CN 为 *.domain.com，并在 SAN 中重复该条目以确保兼容性。

维度	参考标准	工程师建议
密钥算法	RSA 2048+ / ECDSA P-256+	优先选用 ECDSA 提升性能，尤其适用于移动终端
编码格式	PEM 或 DER	Web 服务器通用 PEM；Java 环境常用 DER
域名覆盖	RFC 5280 SAN 扩展	所有域名必须显式列于 SAN，CN 已不再作为唯一标识

常见问题

Q：能否修改已生成的 CSR？
A：不能。任何更改都会使原有签名失效，必须重新生成 CSR 和私钥。

Q：是否可以重复使用同一私钥申请多个证书？
A：可以，但不推荐长期复用。密钥轮换是安全基线要求，建议每次续期生成新密钥对。

Q：CSR 提交后多久能收到证书？
A：DV 证书通常几分钟内签发；OV/EV 因需人工审核，耗时数小时至数个工作日。