如何制作CSR文件

不會(huì )生成CSR？告訴你如何制作CSR文件?

強烈建議采用系統提供的創(chuàng )建CSR功能，避免出現內容不正確而導致的審核失敗。

在申請數字證書(shū)之前，您必須先生成證書(shū)私鑰和證書(shū)請求文件(CSR,Cerificate Signing Request),CSR是您的公鑰證書(shū)原始文件，包含了您的服務(wù)器信息和您的單位信息，需要提交給CA認證中心。在生成CSR文件時(shí)會(huì )同時(shí)生成私鑰文件，請妥善保管和備份您的私鑰。

生成CSR文件時(shí)，一般需要輸入以下信息(中文需要UTF8編碼)：
Organization Name(O)：申請單位名稱(chēng)法定名稱(chēng)，可以是中文或英文
Organization Unit(OU)：申請單位的所在部門(mén)，可以是中文或英文
Country Code(C)：申請單位所屬?lài)?，只能是兩個(gè)字母的國家碼，如中國只能是：CN
State or Province(S)：申請單位所在省名或州名，可以是中文或英文
Locality(L)：申請單位所在城市名，可以是中文或英文
Common Name(CN)：申請SSL證書(shū)的具體網(wǎng)站域名

1. 使用OpenSSL工具生成CSR文件:

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr

-new 指定生成一個(gè)新的CSR，nodes指定私鑰文件不被加密, sha256 指定摘要算法，keyout生成私鑰, newkey rsa:2048 指定私鑰類(lèi)型和長(cháng)度，最終生成CSR文件mydomain.csr。

完成命令提示的輸入后，會(huì )在當前目錄下生成myprivate.key(私鑰文件)和mydomain.csr(CSR，證書(shū)請求文件)兩個(gè)文件。

在使用openssl工具生成中文證書(shū)時(shí)需要注意中文編碼格式，使用utf8編碼，同時(shí)需要編譯openssl工具時(shí)指定支持utf8格式。

如果對中文有需求，推薦您使用keytool工具。

1. 使用keytool工具生成CSR文件:

2.1 先生成證書(shū)文件keystore, 證書(shū)文件中包含密鑰, 導出密鑰方式請參考 主流數字證書(shū)都有哪些格式？

keytool -genkey -alias mycert -keyalg RSA -keysize 2048 -keystore ./mydomain.jks

keyalg是密鑰類(lèi)型,必須是RSA, keysize是密鑰長(cháng)度為2048, alias 是證書(shū)別名可自定義, keystore是證書(shū)文件保存路徑。

首先輸入證書(shū)保護密碼，然后依次輸入：
問(wèn)題 說(shuō)明 示例

What is your first and last name?    申請證書(shū)的域名
What is the name of your organizational unit?    部門(mén)名稱(chēng)
What is the name of your organization?    公司名稱(chēng)
What is the name of your City or Locality?    所在城市
What is the name of your State or Province?    所在省份
What is the two-letter country code for this unit?    ISO

輸入完成后，確認輸入內容是否正確：[no]: Y (輸入Y)

而后提示輸入密鑰密碼,可以與證書(shū)密碼一致,如果一致則直接按回車(chē)。

2.2 通過(guò)證書(shū)文件生成證書(shū)請求:

keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore ./mydomain.jks -file ./mydomain.csr

sigalg是摘要算法，使用SHA256withRSA, alias 是別名，必須與2.1步中的別名一致，keystore是證書(shū)文件，file是證書(shū)請求文件(CSR)，而后提示輸入證書(shū)密碼即可以生成mydomain.csr。

需要注意的是：我們對CSR的密鑰長(cháng)度有嚴格要求，要求是2048位，密鑰類(lèi)型必須為RSA。如果申請證書(shū)是多域名或者通配子域名，在“Common Name”或”What is your first and last name?” 字段只需要輸入一個(gè)域名即可(通配子域名可以輸入“*.example.com”等)。