知識庫

什麼是 Certificate Signing Request (CSR)?

CSR(證書簽名請求)是一個小型的編碼文本文件,包含有關組織和您希望保護的域的信息。它對於激活數字 SSL 證書是必需的,通常在將要安裝證書的伺服器上生成。CSR 提交給證書頒發機構,並用於生成證書。

有關如何生成 CSR 代碼的說明,您可以查閱伺服器文檔或查看我們知識庫中的這篇文章,該文章包含了最常見的伺服器類型。

證書簽名請求應包含以下信息:

  • 通用名稱 (CN) - 證書的主要域名,即將啟用 SSL 的完全合格域名(例如 example.com)。對於通配符證書,域名應以星號開頭(例如 *.example.com)。
  • 地區 (L) - 公司或申請者所在的城市(例如 香港)。此參數不應縮寫。
  • 州 (S) - 公司或申請者所在的州、縣或地區(例如 香港)。
  • 國家 (C) - 公司或申請者所在國家的兩個字母代碼(例如 HK)。
  • 組織 (O) - 申請證書的組織的正式註冊名稱(例如 ZTABOX LIMITED)。對於組織和擴展驗證證書,證書頒發機構將核實提交的組織。對於域名驗證 SSL,這個字段不是關鍵的,詳細信息不會列在發放的證書上,但應填寫。
  • 組織單位 (OU) - 提交組織內部的部門或分支機構的名稱(例如 SSL 支援)。
  • 電子郵件地址 - 公司或申請者的電子郵件地址。此字段是可選的。

CSR 代碼可以包含 SAN(主體替代名稱)字段,用於您希望包含在多域證書中的其他域。一些網絡伺服器和 CSR 代碼生成器可能在 CSR 生成時包含 SAN 字段。如果您對希望保護的域及其數量充滿信心,則可以使用這些字段。您並不需要在 CSR 代碼生成期間填寫 SAN 字段。如果 CSR 代碼是生成帶有 SAN 字段的,則我們的系統將在激活多域證書時自動嘗試將其提取到相應的附加域框中。如果 CSR 是僅為主域生成的,則在激活過程中應手動填寫附加域。

CSR 代碼還包含將包含在您證書中的公鑰。SSL 證書的數據加密基於使用兩個密鑰 - 公鑰和私鑰。公鑰(嵌入在 CSR 代碼和發放的證書中)用於在將數據發送到安裝了證書的伺服器之前加密數據。它發送給每位在由證書保護的網站上提供信息的互聯網使用者。CSR 代碼與私鑰一起生成。私鑰(RSA 密鑰)是解密使用公鑰加密的數據所必需的。只有擁有 RSA 密鑰的伺服器才能解密數據。這使得通過 SSL 的數據傳輸安全可靠。私鑰不應透露給任何第三方,因為這可能會危及證書。如果私鑰丟失或洩露,則應使用生成的新 CSR 代碼和新的 RSA 密鑰重新簽發證書,並撤銷初始證書以避免任何可能的安全問題。

此外,CSR 包含有關密鑰類型和密鑰長度的信息。最常見和頻繁使用的密鑰類型是 RSA。然而,也可以提交帶有ECDSA 密鑰的 CSR 代碼以進行證書激活。

RSA 密鑰的最小可能密鑰大小為 2048 位。這被視為安全,並且沒有迫切需要使私鑰更強。然而,COMODO 證書也可以用 4096 和 8192 位的密鑰大小進行激活。請記住,並非所有設備都能支持強密鑰!

CSR 是一個 Base-64 代碼,開頭是標頭 -----BEGIN CERTIFICATE REQUEST-----,結尾是尾部 -----END CERTIFICATE REQUEST-----(在 Windows 伺服器上生成的 CSR 代碼將具有標籤 -----BEGIN NEW CERTIFICATE REQUEST----- 和 -----END NEW CERTIFICATE REQUEST-----)。激活證書時,請將 CSR 代碼連同標頭和尾部一起複製到激活頁面。

下面是證書簽名請求的示例:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

您可以使用這個解碼工具檢查 CSR 信息。