知識&消息

CSR(CERTIFICATE SIGNING REQUEST)是甚麼?

在我們申請要購買SSL憑證的時候,廠商都會要求要您製作CSR檔案,然後上傳到廠商提供的網頁介面上,才開始後續的申請流程,可以說是第一步,那CSR檔案是甚麼呢?以下簡單說明:

CSR(Certificate Signing Request)我們翻譯成憑證簽發請求文件(檔案),簡稱憑證請求檔,裡面有包含以下的一些欄位,必須填好後製作成CSR檔案,然後提供給廠商:

CN:Common Name :此欄位為你要保護的網域名稱
Organization [O]:您組織的名稱,此名稱要與您合法登記的名稱一樣
Organizational Unit:[OU]:公司部門,若沒填寫則跟Common Name相同
Locality [L]:公司所在地的城市名稱
State [ST]:公司所在地的州或郡
Country [C]:公司所在地的國家
Key Size:憑證演算法與金鑰長度

當您將以上資料填好後,利用自己的工具或者本網站提供的網頁工具,製作CSR檔案,當您做好的同時應該會產生兩個檔案,一個是私密金鑰(Private Key),一個是CSR檔案,私密金鑰自行保存,CSR則給發證商進行憑證製作,這些資料會在您申請憑證欄位中的主旨,註記上去,如下圖

如果您是申請多網域則Common Name:可寫多個網域如:www.sslbuyer.com,www.sslbuyer2.com,..等等,如果是萬用網域則可寫*.domain.com.端看您的需求而定,通常發證商有提供您工具可以產生CSR,但是因為私密金鑰(Private Key)的關係,通常還是建議您在自己的電腦產生,以免私密金鑰外洩!至於金鑰長度與演算法,需要依照廠商提供的種類選擇,目前金鑰長度已經要求要2048位元以上才夠安全,演算法的部分還是RSA為主(ECC橢圓曲線演算法據說也有廠商開始提供),至於雜湊函數演篹法也於2014年開始從SHA1提升為SHA2,一直到2017年全面改用SHA2,這邊建議您可以先使用本網站或者廠商提供的工具產生CSR檔案,然後再用本網站提供的CSR READER看看欄位是否正確,如果OK,那再使用OPENSSL的語法,在自己的電腦上製作!比較安全!

OPENSSL的語法如下: 其中XXXX請以實際資料取代

openssl req -new -newkey rsa:2048 -nodes -out xxxx.csr -keyout xxxx.key -subj "/C=tw/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx/CN=xxx.xxx.xxx"

您就可以看到產生了兩個檔案:XXXX.CSR與XXXX.KEY,只要把XXXX.CSR給發證商即可!

而CSR檔案如果用記事本打開,會像以下的樣子

後記:
您可以看到在產生CSR檔案的網頁中,並不會提供您年限的欄位讓您選擇,這是因為通常廠商還是會以你申請的書面文件為主,DV憑證比較簡單只要審網域名稱的擁有權,但是OV與EV的憑證,就會審驗書面文件(一些證明貴公司合法的登記文件)!因為審驗的過程中一定會再與您確認相關資料,所以CSR檔案只是申請上的一個初步資料!另外!一個CSR檔案會配合一個私密金鑰,如果您有很多CSR檔案,那就必須分組歸類,以免搞混,您可以使用一些免費的工具程式進行確認,或者也可以使用本網站提供的工具進行匹配確認!