摘要:证书签名请求 (CSR)是使用SSL/TLS 证书保护任何网站的关键部分。CSR 是通过加密数据传输保护用户敏感信息的必需品。本质上,它是一段加密文本,其中包含重要详细信息,例如您的域名、组织和公钥。
证书签名请求 (CSR)是使用SSL/TLS 证书保护任何网站的关键部分。CSR 是通过加密数据传输保护用户敏感信息的必需品。本质上,它是一段加密文本,其中包含重要详细信息,例如您的域名、组织和公钥。
在本指南中,您将了解有关 CSR 的所有知识 - 从基础知识(例如 CSR 是什么以及它如何工作)到高级主题(例如生成 CSR 并向证书颁发机构 (CA)提交 CSR) 。
什么是证书签名请求?
证书签名请求 (CSR)是一段特殊格式的文本,其中包含有关您的网站或组织的关键信息。它在获取SSL/TLS 证书方面起着至关重要的作用,而 SSL/TLS 证书对于加密 Web 服务器和客户端(如浏览器)之间的通信至关重要。
当您需要使用SSL/TLS保护您的网站时,第一步是生成 CSR。然后,此请求将发送到证书颁发机构 (CA)— 负责颁发实际数字证书的受信任的第三方。CSR 包含您的公钥(用于建立安全连接)以及有关您的域和组织的其他详细信息。
通过提交 CSR,您实际上是在要求 CA 验证您的身份并颁发必要的数字证书以保护您的网站。如果没有此过程,您的网站将无法建立安全的 HTTPS 连接,这对于保护用户数据和提高 SEO 排名至关重要。
为什么需要证书签名请求?
无论您的网站还是内部网络系统需要 SSL/TLS 证书,CSR 都是必需的。它如此重要的原因很简单:SSL/TLS 证书提供加密,可保护在用户和您的网站之间传输的敏感数据。这对于电子商务网站、金融机构或任何处理个人信息的平台尤其重要。
此外,像Google这样的搜索引擎现在优先考虑使用 HTTPS 的网站,这意味着 SSL 证书可以直接提高您的 SEO 性能。有效的 SSL 证书还可以增强客户信任,因为它可以确保用户的数据不会被窃听或拦截。CSR是获取该证书的第一步。
证书签名请求如何工作?
证书签名请求的过程围绕公钥基础设施(PKI)展开。简单解释一下,它的工作原理如下:
生成 CSR:此步骤发生在托管您网站的服务器上。您将使用工具(如OpenSSL)来生成 CSR 文件。
公钥和私钥对:创建 CSR 时,会同时生成公钥和私钥。公钥进入 CSR,而私钥则安全地保存在您的服务器上。
提交 CSR:然后将 CSR 提交给证书颁发机构 (CA)(例如沃通CA、DigiCert或Sectigo),以验证您的身份。
验证:CA 会验证您的 CSR 中的信息。对于域验证(DV) 证书,这可能是对域所有权的简单检查,而组织验证 (OV)和扩展验证 (EV)证书则需要更彻底的验证。
证书颁发:验证后,CA 将颁发 SSL/TLS 证书,该证书将安装在您的服务器上。这允许您的网站通过 HTTPS 安全地传输数据。
此工作流程可确保您的 CSR 中的公钥与您服务器上的私钥匹配,从而使未经授权的各方无法解密敏感数据。
CSR 中包含哪些信息?
证书签名请求包含几条重要信息,这些信息对于创建 SSL 证书至关重要:
通用名称 (CN):您的网站的完全限定域名 (FQDN),例如www.example.com。
组织 (O):您的公司或组织的法定名称。
组织单位(OU):组织内负责管理证书的部门(此字段为可选)。
国家/地区 (C):您所在国家/地区的两个字母的代码,例如“CN”代表中国。
州/省 (S):州或省的全名。
地区 (L):您的企业所在的城市或城镇。
电子邮件地址(可选):一些 CSR 可能包含用于沟通目的的电子邮件地址。
公钥:这是 CSR 中最关键的部分。公钥嵌入证书中,用于加密和与客户的安全通信。
所有这些信息都编码在 CSR 中,然后使用私钥进行数字签名以确保其真实性。
公钥和私钥在 CSR 中的作用
创建CSR时,公钥和私钥之间的关系对于安全性至关重要。其工作原理如下:
公钥:公钥包含在 CSR 中,将成为 SSL/TLS 证书的一部分。它用于加密发送到您服务器的数据。任何人都可以访问公钥,但只有相应的私钥才能解密信息。
私钥:私钥保存在您的服务器上,绝不能与他人共享。私钥用于解密公钥加密的数据。如果其他人获得您的私钥,他们就有可能解密敏感信息,因此保护私钥至关重要。
本质上,公钥加密信息,而私钥解密信息。CSR 确保您的公钥有效且可由证书颁发机构验证,然后证书颁发机构会颁发您的 SSL 证书。
如何生成证书签名请求
生成证书签名请求 (CSR)取决于您使用的服务器环境。以下是创建 CSR 的一些常用方法:
OpenSSL(基于 Linux/Unix 的服务器)
OpenSSL 是生成 CSR 和私钥的最流行工具之一。以下是分步示例:
运行以下命令生成 CSR:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
此命令将生成两个文件:
yourdomain.key:私钥。
yourdomain.csr:证书签名请求。
系统将提示您填写详细信息,例如域名(CN)、组织和国家。
cPanel(Web 托管环境)
许多共享托管平台(例如使用cPanel 的平台)都提供了内置的 CSR 生成工具:
登录cPanel并转到SSL/TLS部分。
单击生成新的 CSR。
在表格中填写您的域名和组织信息。
生成 CSR 后,将其与私钥一起下载。
Windows 服务器
如果您使用带有 IIS(Internet 信息服务)的 Windows Server,则IIS 管理器提供了一种创建 CSR 的简单方法:
打开IIS 管理器并导航到您的服务器。
在服务器证书部分中,选择创建证书请求。
填写必填字段,如域名、组织和公钥大小。
保存 CSR 文件以提交给证书颁发机构。
这些只是生成 CSR 的几种方法,但不同平台的基本流程类似:输入您的域和组织详细信息,生成 CSR,然后将其提交给证书颁发机构。
了解不同类型的证书签名请求
SSL 证书有多种类型,每种证书的验证级别都不同。这些差异会影响CSR要求,但基本结构保持不变:
域验证 (DV) 证书:
需要最少的验证——仅证明您控制域名。
通常使用仅具有通用名称 (CN)(域名)的 CSR 。
最适合不处理敏感信息的小型网站或博客。
组织验证 (OV) 证书:
除了证明域名所有权之外,证书颁发机构 (CA)还将验证您组织的合法存在。
CSR 包括组织详细信息,例如公司名称和地址。
非常适合处理用户数据但不需要最高级别验证的企业。
扩展验证 (EV) 证书:
最高级别的 SSL 验证。
需要对域名和组织进行广泛的验证。
您的 CSR 必须包含详细的组织信息。
通常由金融机构、大型公司和电子商务网站使用。
每种证书类型都有不同的用途,但它们都从生成CSR并提交验证开始。
证书签名请求的有效期是多长?
证书签名请求没有特定的到期日期,但其相关性与SSL 证书的有效性相关。通常,SSL 证书的有效期为一到两年,之后必须续订。
续订 SSL 证书时,最好生成新的CSR以确保最安全的加密实践。某些托管平台或 CA 可能会鼓励在续订时使用新的 CSR 以增加安全性。
您的 CSR 获得批准后会发生什么?
一旦您的证书签名请求获得批准并且证书颁发机构 (CA)颁发了 SSL 证书,下一步就是安装。批准后将发生以下情况:
安装 SSL 证书:收到证书后,将其安装在您的 Web 服务器上。具体过程取决于您的服务器类型,但这通常涉及通过 cPanel 上传证书文件,或通过 SSH 手动上传基于 Linux 的服务器证书文件。
配置 HTTPS:确保您的网站配置为使用 HTTPS。这可能需要更新您网站的内部链接并设置从 HTTP 到 HTTPS 的自动重定向。
测试 SSL 证书:安装后,通过使用 HTTPS 访问您的网站并使用SSL Labs 的 SSL Test等工具检查配置错误,验证 SSL 证书是否正常工作。
维护您的 SSL 证书对于您网站的持续安全性和可信度非常重要。
来源:沃通WoSign