什么是CSR以及CSR的作用和生成
來源: https://www.trustasia.com/news-201801-what-is-the-role-and-generation-of-csr-and-csr摘要
說起SSL證書的時候,勢必會提到CSR這么一個詞匯,本文就圍繞CSR是什么,什么樣,如何生成等內容做個詳細的說明。
關鍵字:CSR,SSL證書,SSLtool
CSR是什么
CSR是Certificate Signing Request的英文縮寫,即證書簽名請求文件,是證書申請者在申請數字證書時由CSP(加密服務提供者)在生成私鑰的同時也生成證書請求文件,證書申請者只要把CSR文件提交給證書頒發機構后,證書頒發機構使用其根證書私鑰簽名就生成了證書公鑰文件,也就是頒發給用戶的證書。
CSR什么樣
CSR是以-----BEGIN CERTIFICATE REQUEST-----開頭,-----END CERTIFICATE REQUEST-----為結尾的base64格式的編碼。將其保存為文本文件,就是所謂的CSR文件。
CSR如何生成
目前,CSR生成工具非常多,比如openssl工具,keystore explore,XCA等,這里介紹一款在線工具:https://myssl.com/csr_create.html
這里有幾個關鍵的要注意下:
域名必須正確輸入(如果是非SSL證書,則輸入相應的通用名)。
密鑰算法選擇RSA的話,密鑰長度需要2048bit以上(這個默認是2048,沒有特殊情況,不要特殊設置);ECC則是256bit以上。
摘要簽名雖說目前可以任意,但建議是sha2-256以上。
CSR生成注意事項
匹配的KEY必須保存
有CSR必定有KEY,是成對的,CSR最終變成為證書,和私鑰key配對使用。Key是以-----BEGIN RSA PRIVATE KEY-----開頭的,-----END RSA PRIVATE KEY-----結尾的。Key必須保存好。
CSR生命周期
證書下發后,CSR無需使用,僅提交時候需要。