csr证书(csr证书是什么意思)

目录：

• 1、什么是CSR证书申请文件
• 2、openssl、x509、crt、cer、key、csr、ssl、tls都是什么意思？
• 3、数字证书 & CSR & OpenSSL

什么是CSR证书申请文件

要生成一个证书签名请求（CSR）文件，使用苹果Mac OS X 10.6雪豹，请执行以下步骤：

1、启动服务器管理工具，并连接到你的服务器上要安装的证书。

应用 服务器 服务器管理

2、在服务器列表中，双击服务器名称。

3、输入密码，单击“ 连接“

4、从工具栏中选择证书

5、单击+（添加）按钮

6、选择“ 创建一个证书身份打开“证书助理”

openssl、x509、crt、cer、key、csr、ssl、tls都是什么意思？

TLS：传输层安全协议 Transport Layer Security的缩写

SSL：安全套接字层 Secure Socket Layer的缩写

TLS：与SSL对于不是专业搞安全的开发人员来讲，可以认为是差不多的，这二者是并列关系

KEY：通常指私钥。

CSR：是Certificate Signing Request的缩写，即证书签名请求，这不是证书，可以简单理解成公钥，生成证书时要把这个提交给权威的证书颁发机构。

CRT：即 certificate的缩写，即证书。

X.509：是一种证书格式，对X.509证书来说，认证者总是CA或由CA指定的人，一份X.509证书是一些标准字段的**，这些字段包含有关用户或设备及其相应公钥的信息。X.509的证书文件，一般以.crt结尾，根据该文件的内容编码格式，可以分为以下二种格式：

PEM - Privacy Enhanced Mail，打开看文本格式，以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码，Apache和*NIX服务器偏向于使用这种编码格式。

DER - Distinguished Encoding Rules，打开看是二进制格式，不可读，Java和Windows服务器偏向于使用这种编码格式。

OpenSSL 相当于SSL的一个实现，如果把SSL规范看成OO中的接口，那么OpenSSL则认为是接口的实现。接口规范本身是安全没问题的，但是具体实现可能会有不完善的地方，比如之前的"心脏出血"漏洞，就是OpenSSL中的一个bug。

数字证书 & CSR & OpenSSL

Openssl的证书操作

Why do I have to create a certificate request (CSR) from the private key?

什么是CSR文件

SSL证书请求文件(CSR)生成指南

什么是CSR ？ 什么是公钥和私钥？

Where in the CSR is the public key?

openssl、x509、crt、cer、key、csr、ssl、tls 这些都是什么鬼?

How to create a .pem file for SSL Certificate Installations

OpenSSL生成根证书CA及签发子证书

CSR Certificate Signing Request，证书签名请求，即申请者通过将公钥发送给 CA，Certificate Authority， 来申请数字签名证书的请求。发送的文件叫做 CSR 文件。

In public key infrastructure (PKI) systems, a certificate signing request (also CSR or certification request ) is a message sent from an applicant to a registration authority of the public key infrastructure in order to apply for a digital identity certificate .

有了数字签名证书，我们即可证明自己是可信的，CA 会为此背书。

申请者向 CA 申请数据证书，首先需要自己先产生一对公私密钥。申请者保管好私钥，再把公钥和申请者信息发送给 CA，CA 通过这个公钥和申请者信息签发数字证书。

CSR 文件就是包含了申请者公钥和申请者信息的数据文件。申请者产出这个 CSR 文件，发送给 CA，CA 会根据 CSR 文件中的内容签发数字证书。

要产生 CSR 文件的方法有很多，比较常用的是 OpenSSL。

也可以通过 CA 机构在线生成 CSR（不推荐，因为暴露了密钥对）。

使用 RSA 算法，私钥输出到 private.key 文件。

使用私钥 private.key 生成 CSR 文件 server.csr

这里需要填写申请者信息。 要注意的是 Common Name 这里，要填写成使用 SSL 证书（即：HTTPS 协议）的域名或主机名，否则浏览器会认为不安全。例如：如果以后打算用 这里就填写 dummy.example.com 。

完成上面的两个步骤后，公钥会同时出现在 server.csr 和 private.key 文件中。

我们将 CSR 文件提交给 CA 申请证书，经过 CA 身份对申请者身份进行审核后，使用 CA 的私钥来给签名，生成证书。

CA 签名算法工作流程大致如下：一般是对信息做一个 Hash 计算，得到一个 Hash 值，这个过程不可逆，也就是说无法通过 Hash 值得出原来的信息内容。再把信息发送出去时，把这个 Hash 值用 CA 私钥加密后，作为一个签名和信息一起发出去。

CA 有自己的证书 crt 文件，这个 CA 自己的证书（证明自己是可信的），由更高级别的 CA 给它颁发的。

申请人收到证书文件后，将证书公钥配合私钥文件转化为服务器对应的格式的文件，部署在 HTTP 服务器上面，这样我们的网站就可信了。

未来任何人都从服务端获取这个证书，而不是公钥。你需要得到这个证书的发布机构 CA 的公钥，来解密这个证书的签名，如果解密成功了，Hash 也对得上，就说明这个证书中自带的公钥没什么问题。

OpenSSL Heartbleed 心脏出血漏洞