什么是 Certificate Signing Request (CSR)?

SSL 网站安全证书
更新 2019年2月11日

CSR（证书签名请求）是一个小型的编码文本文件，包含有关组织和您希望保护的域的信息。它对于激活数字 SSL 证书是必需的，通常在将要安装证书的服务器上生成。CSR 提交给证书颁发机构，并用于生成证书。

有关如何生成 CSR 代码的说明，您可以查阅服务器文文件或查看我们知识库中的这篇文章，该文章包含了最常见的服务器类型。

证书签名请求应包含以下信息：

通用名称 (CN) - 证书的主要域名，即将启用 SSL 的完全合格域名（例如 example.com）。对于通配符证书，域名应以星号开头（例如 *.example.com）。
地区 (L) - 公司或申请者所在的城市（例如香港）。此参数不应缩写。
州 (S) - 公司或申请者所在的州、县或地区（例如香港）。
国家 (C) - 公司或申请者所在国家的两个字母代码（例如 HK）。
组织 (O) - 申请证书的组织的正式注册名称（例如 ZTABOX LIMITED）。对于组织和扩展验证证书，证书颁发机构将核实提交的组织。对于域名验证 SSL，这个字段不是关键的，详细信息不会列在发放的证书上，但应填写。
组织单位 (OU) - 提交组织内部的部门或分支机构的名称（例如 SSL 支持）。
电子邮件地址 - 公司或申请者的电子邮件地址。此字段是可选的。

CSR 代码可以包含 SAN（主体替代名称）字段，用于您希望包含在多域证书中的其他域。一些网络服务器和 CSR 代码生成器可能在 CSR 生成时包含 SAN 字段。如果您对希望保护的域及其数量充满信心，则可以使用这些字段。您并不需要在 CSR 代码生成期间填写 SAN 字段。如果 CSR 代码是生成带有 SAN 字段的，则我们的系统将在激活多域证书时自动尝试将其提取到相应的附加域框中。如果 CSR 是仅为主域生成的，则在激活过程中应手动填写附加域。

CSR 代码还包含将包含在您证书中的公钥。SSL 证书的数据加密基于使用两个密钥 - 公钥和私钥。公钥（嵌入在 CSR 代码和发放的证书中）用于在将数据发送到安装了证书的服务器之前加密数据。它发送给每位在由证书保护的网站上提供信息的互联网使用者。CSR 代码与私钥一起生成。私钥（RSA 密钥）是解密使用公钥加密的数据所必需的。只有拥有 RSA 密钥的服务器才能解密数据。这使得通过 SSL 的数据传输安全可靠。私钥不应透露给任何第三方，因为这可能会危及证书。如果私钥丢失或泄露，则应使用生成的新 CSR 代码和新的 RSA 密钥重新签发证书，并撤销初始证书以避免任何可能的安全问题。

此外，CSR 包含有关密钥类型和密钥长度的信息。最常见和频繁使用的密钥类型是 RSA。然而，也可以提交带有ECDSA 密钥的 CSR 代码以进行证书激活。

RSA 密钥的最小可能密钥大小为 2048 位。这被视为安全，并且没有迫切需要使私钥更强。然而，COMODO 证书也可以用 4096 和 8192 位的密钥大小进行激活。请记住，并非所有设备都能支持强密钥！

CSR 是一个 Base-64 代码，开头是标头 -----BEGIN CERTIFICATE REQUEST-----，结尾是尾部 -----END CERTIFICATE REQUEST-----（在 Windows 服务器上生成的 CSR 代码将具有标签 -----BEGIN NEW CERTIFICATE REQUEST----- 和 -----END NEW CERTIFICATE REQUEST-----）。激活证书时，请将 CSR 代码连同标头和尾部一起复制到激活页面。

下面是证书签名请求的示例：

您可以使用这个解碼工具检查 CSR 信息。

知识库

什么是 Certificate Signing Request (CSR)?

云寄存

域名

安全

关于我们