安全与加密常识(4)证书签名请求(CSR)

文章目录

什么是CSR

证书签名请求(Certificate Signing Request,简称CSR)是一个由申请证书的实体(如公司或个人)生成的文件,其中包含申请者的公钥和身份信息(如组织名称、通用名、地点等)。CSR主要用于在数字证书认证过程中向证书颁发机构(Certificate Authority,CA)请求签名,以便获取一个受信任的数字证书。

CSR的主要组成部分:

  1. 公钥
    • CSR包含了申请者的公钥,此公钥将被包含在最终的证书中。
  2. 主体信息
    • 这些信息包括申请者的姓名、组织、部门、城市、州/省和国家等。它们用来标识证书的拥有者。
  3. 签名
    • CSR还包含了使用申请者的私钥创建的签名。这个签名是用来验证CSR中的信息是由拥有相应私钥的实体提交的,确保请求的合法性。

示例:

一个典型的CSR看起来如下(文本已简化):

-----BEGIN CERTIFICATE REQUEST-----
MIIC2DCCAcACAQAwgYoxCzAJBgNVBAYTAkFVMQswCQYDVQQIDAJRVDEPMA0GA1UE
...
H5HQYKKoZIhvcNAQkUMRAwDgYDVQQDDAdteS5jb20wDQYJKoZIhvcNAQELBQAD
-----END CERTIFICATE REQUEST-----

这种格式叫PEM格式,所以csr文件的后缀名通常是pem,这种格式让CSR可以通过电子邮件或其他文本基础的传输方式进行发送,而无需担心内容的完整性和安全性。通过CSR,申请者可以从CA获得一个正式的数字证书,进而用于各种加密通讯和数据安全领域。

CSR的作用

  • 证书申请
    • 生成CSR是申请SSL/TLS证书的第一步。用户生成一个包含公钥和身份信息的CSR,并将其提交给CA。
  • 证书签发
    • CA验证CSR中的信息后,如果认为申请者是可信的,会使用CA的私钥对申请者的公钥进行签名,并发放数字证书。这个过程涉及到的安全措施确保了证书的有效性和信任度。
  • 密钥对控制
    • 在整个过程中,私钥始终由证书申请者保留,不需要提交给CA或其他任何第三方。这保证了密钥的安全性和私密性。

如何生成CSR

在Linux系统上生成CSR(Certificate Signing Request,证书签名请求)通常可以通过以下步骤完成,具体步骤如下:

  1. 生成私钥(Key): 使用openssl命令生成一个RSA私钥文件(通常是.pem格式),可以选择不同的位数,比如2048位或4096位:
shell 复制代码
$ openssl genrsa -out private.key 2048

这将生成一个2048位的RSA私钥文件 private.key

  1. 生成CSR: 使用刚刚生成的私钥文件来生成CSR。在生成CSR时,需要提供一些证书相关的信息,如国家代码、州、城市、组织名称、通用名称(主机名)等信息。可以通过交互式输入或者通过命令行参数提供这些信息。
shell 复制代码
$ openssl req -new -key private.key -out example.csr

这会提示你输入一些证书相关的信息,比如国家、州、城市等。最重要的是"Common Name",即你要申请证书的域名(如果是通配符证书,则是 *.example.com)。

如果你希望通过命令行参数提供这些信息,可以使用 -subj 选项,例如:

shell 复制代码
$ openssl req -new -key private.key -out example.csr \
       -subj "/C=US/ST=California/L=San Francisco/O=Example Inc/CN=example.com"

这里的 /C=US/ST=California/L=San Francisco/O=Example Inc/CN=example.com 是一个示例,你需要根据实际情况修改。

  1. CSR文件内容查看: 如果需要查看刚刚生成的CSR文件内容,可以使用以下命令:
shell 复制代码
$ openssl req -in example.csr -text -noout

这将显示CSR的详细信息,包括主体信息、公钥信息等。

生成CSR后,你可以将这个CSR文件提交给证书颁发机构(CA)来申请SSL证书或者其他类型的证书。

请注意,生成CSR和私钥时要妥善保管好私钥文件,因为私钥对于证书的安全性至关重要。

整个步骤是先生成公私钥,再生成证书请求,因为证书请求需要公私钥。这个过程可以一步到位:

shell 复制代码
openssl req -new -newkey rsa:2048 -out client.pem -keyout rsa.pem -batch -nodes
相关推荐
熬夜的猪10 小时前
现代安全密码哈希算法
java·学习·算法·安全·哈希算法
Sagice10 小时前
CVE-2019-13272(Linux本地内核提权)
linux·运维·服务器·网络·安全
李李李李李同学11 小时前
等保测评讲解初测和复测有哪些区别
网络·安全·信息安全等级保护测评
夏天想11 小时前
前端安全和解决方案
前端·安全
凡人的AI工具箱11 小时前
40分钟学 Go 语言高并发:【实战】并发安全的配置管理器(功能扩展)
开发语言·后端·安全·架构·golang
EasyCVR11 小时前
ISUP协议视频平台EasyCVR萤石设备视频接入平台银行营业网点安全防范系统解决方案
大数据·人工智能·物联网·安全·音视频·监控视频接入
IT-sec12 小时前
jquery-picture-cut 任意文件上传(CVE-2018-9208)
android·前端·javascript·安全·web安全·网络安全·jquery
网络安全-老纪13 小时前
网工考试——网络安全
网络·安全·web安全
期待未来的男孩13 小时前
安全加固方案
java·网络·安全
阿乾之铭13 小时前
HTTP/HTTPS
网络协议·http·https