什么是CSR

证书签名请求（Certificate Signing Request，简称CSR）是一个由申请证书的实体（如公司或个人）生成的文件，其中包含申请者的公钥和身份信息（如组织名称、通用名、地点等）。CSR主要用于在数字证书认证过程中向证书颁发机构（Certificate Authority，CA）请求签名，以便获取一个受信任的数字证书。

CSR的主要组成部分：

1. 公钥：
   • CSR包含了申请者的公钥，此公钥将被包含在最终的证书中。
2. 主体信息：
   • 这些信息包括申请者的姓名、组织、部门、城市、州/省和国家等。它们用来标识证书的拥有者。
3. 签名：
   • CSR还包含了使用申请者的私钥创建的签名。这个签名是用来验证CSR中的信息是由拥有相应私钥的实体提交的，确保请求的合法性。

示例：

一个典型的CSR看起来如下（文本已简化）：

-----BEGIN CERTIFICATE REQUEST-----
MIIC2DCCAcACAQAwgYoxCzAJBgNVBAYTAkFVMQswCQYDVQQIDAJRVDEPMA0GA1UE
...
H5HQYKKoZIhvcNAQkUMRAwDgYDVQQDDAdteS5jb20wDQYJKoZIhvcNAQELBQAD
-----END CERTIFICATE REQUEST-----

这种格式叫PEM格式，所以csr文件的后缀名通常是pem，这种格式让CSR可以通过电子邮件或其他文本基础的传输方式进行发送，而无需担心内容的完整性和安全性。通过CSR，申请者可以从CA获得一个正式的数字证书，进而用于各种加密通讯和数据安全领域。

CSR的作用

• 证书申请：
  • 生成CSR是申请SSL/TLS证书的第一步。用户生成一个包含公钥和身份信息的CSR，并将其提交给CA。
• 证书签发：
  • CA验证CSR中的信息后，如果认为申请者是可信的，会使用CA的私钥对申请者的公钥进行签名，并发放数字证书。这个过程涉及到的安全措施确保了证书的有效性和信任度。
• 密钥对控制：
  • 在整个过程中，私钥始终由证书申请者保留，不需要提交给CA或其他任何第三方。这保证了密钥的安全性和私密性。

如何生成CSR

在Linux系统上生成CSR（Certificate Signing Request，证书签名请求）通常可以通过以下步骤完成，具体步骤如下：

1. 生成私钥（Key）： 使用openssl命令生成一个RSA私钥文件（通常是.pem格式），可以选择不同的位数，比如2048位或4096位：

$ openssl genrsa -out private.key 2048

这将生成一个2048位的RSA私钥文件 private.key。

2. 生成CSR： 使用刚刚生成的私钥文件来生成CSR。在生成CSR时，需要提供一些证书相关的信息，如国家代码、州、城市、组织名称、通用名称（主机名）等信息。可以通过交互式输入或者通过命令行参数提供这些信息。

$ openssl req -new -key private.key -out example.csr

这会提示你输入一些证书相关的信息，比如国家、州、城市等。最重要的是“Common Name”，即你要申请证书的域名（如果是通配符证书，则是 *.example.com）。

如果你希望通过命令行参数提供这些信息，可以使用 -subj 选项，例如：

$ openssl req -new -key private.key -out example.csr \
       -subj "/C=US/ST=California/L=San Francisco/O=Example Inc/CN=example.com"

这里的 /C=US/ST=California/L=San Francisco/O=Example Inc/CN=example.com 是一个示例，你需要根据实际情况修改。

3. CSR文件内容查看： 如果需要查看刚刚生成的CSR文件内容，可以使用以下命令：

$ openssl req -in example.csr -text -noout

这将显示CSR的详细信息，包括主体信息、公钥信息等。

生成CSR后，你可以将这个CSR文件提交给证书颁发机构（CA）来申请SSL证书或者其他类型的证书。

请注意，生成CSR和私钥时要妥善保管好私钥文件，因为私钥对于证书的安全性至关重要。

整个步骤是先生成公私钥，再生成证书请求，因为证书请求需要公私钥。这个过程可以一步到位：

openssl req -new -newkey rsa:2048 -out client.pem -keyout rsa.pem -batch -nodes