Certificate Signing Request(CSR) là bước đầu tiên trong vòng đời của chứng chỉ SSL – chứng chỉ được sinh ra bởi CSR. Nó cũng là một tập tin mà nhiều người dùng thường không quá quan tâm nhiều và có thể khiến bạn cảm thấy bối rối hoặc khó khăn khi cài đặt chứng chỉ SSL.
Đây là giải thích nhanh về CSR là gì và vai trò của nó đối với những người tìm hiểu SSL hoặc có ý định cài đặt.
CSR là gì?
Certificate Signing Request là một tệp chứa thông tin về Tổ chức phát hành chứng chỉ – Certificate Authority (hoặc CA, các công ty phát hành chứng chỉ SSL) cần tạo chứng chỉ SSL của bạn. Mục đích của CSR là có một phương pháp chuẩn hóa để cung cấp thông tin này cho các CA.
CSR theo nghĩa đen là một yêu cầu để có chứng chỉ được tạo và chữ ký số của một CA.
Có ba phần quan trọng đối với CSR:
- Khóa công khai của bạn.
- (Các) tên miền đủ điều kiện bạn muốn sử dụng chứng chỉ của mình.
- Các thông tin khác về bạn và tổ chức / trang web của bạn (bao gồm tên đăng ký hợp pháp và thành phố / tiểu bang / quốc gia nơi đăng ký của nó).
Hãy chia những phần đó ra. Khóa công khai là khóa mã hóa – một nửa của “cặp khóa” được sử dụng với chứng chỉ SSL. Điều này được sử dụng để mã hóa dữ liệu được gửi đến máy chủ của bạn. Khi bạn tạo CSR, bạn cũng tạo cặp khóa này cùng một lúc. Khóa công khai được gói trong CSR và chứng chỉ SSL bạn nhận được, cho phép người dùng kết nối với trang web của bạn để chuyển dữ liệu một cách an toàn.
Nửa còn lại của cặp khóa là khóa riêng. Lưu ý rằng trong khi điều này cũng được tạo cùng lúc với CSR, nó không phải là một phần của CSR. Khóa riêng tư là một tệp riêng biệt (thường là ở định dạng .key). Khóa riêng được sử dụng để giải mã dữ liệu mà khóa công khai được mã hóa. Như tên cho thấy, bạn giữ chìa khóa này cho chính mình và không gửi nó cho CA của bạn hoặc bất cứ ai khác. Bạn sẽ cần khóa cá nhân sau này trong quá trình khi bạn cài đặt chứng chỉ SSL của mình.
Tên miền đầy đủ (s) hoặc FQDN, là tên máy chủ nơi bạn sẽ sử dụng chứng chỉ của mình. FQDN phải bao gồm tên miền phụ và miền phụ, chẳng hạn như “www.example.com” hoặc “mail.example.co.uk.” Không bao gồm lược đồ (“http: //”).
Một số chứng chỉ SSL cho phép bạn bảo mật nhiều FQDN bằng một chứng chỉ – thường được gọi là “chứng chỉ SAN” hoặc “chứng SSL chỉ đa miền”. Đối với nhiều nhà cung cấp, bạn sẽ chỉ bao gồm một FQDN trong CSR của mình và sẽ chỉ định phần còn lại sau mẫu đơn đặt hàng.
Phần cuối cùng của CSR là “thông tin người đăng ký” – địa chỉ email, tên doanh nghiệp đã đăng ký hợp pháp và vị trí. Thông tin này có thể được bao gồm trong chứng chỉ của bạn nếu bạn mua chứng chỉ “OV” hoặc “EV”, xác thực trang web của bạn được điều hành bởi một công ty / tổ chức đã đăng ký. Tuy nhiên, không phải tất cả các chứng chỉ đều bao gồm thông tin này và nếu nó không áp dụng cho bạn, bạn có thể để trống nó. Nhiều nhà cung cấp cũng cho phép bạn cập nhật thông tin này sau nếu nó không chính xác.
Ba phần đó được bọc và mã hóa, thường là ở định dạng “PEM”. Dưới đây là ví dụ về CSR trông như thế nào:
–BEGIN CERTIFICATE REQUEST–
MIIDFzCCAf8CAQAwgagxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdGbG9yaWRhMRcw
FQYDVQQHEw5TdC4gUGV0ZXJzYnVyZzEUMBIGA1UEChMLRXhhbXBsZSBJbmMxFjAU
BgNVBAsTDVVTIE9wZXJhdGlvbnMxGDAWBgNVBAMTD3d3dy5leGFtcGxlLmNvbTEm
MCQGCSqGSIb3DQEJARYXZXhhbXBsZUB0aGVzc2xzdG9yZS5jb20wggEiMA0GCSqG
SIb3DQEBAQUAA4IBDwAwggEKAoIBAQCgMpvQgGEMWy7jozVf + tiCDmWmuHlW0zhL
OtLgBOOsgsv1c2i37 / zgbcN4OyJHKEmftoYQiCwZ7wVh2UA9bBlwl4 / Bsr1uNXhr
i5qlT2MXP5isKQkinr0W + cysjhi1wYJo + KohmZMUEHDYMRATG6lMXLnukK1cduNw
Jb81Cc6CPgrkDK / zfBe8hvmfj92NS9uwhQiHp2lIVHx + cf2RbHDTmPzdeSgLQ79s
H1Pgj26 + PbJ5havtidd / LrfMVRLArI / PrJf2msoNHqVifEnjEk7eDeuB0O7k2bEh
eluiTmK9 + 1Ofh70NFyKYRV0dEAs3t6vjIG2WUYjC5 + sWeZDPSJaNAgMBAAGgKTAn
BgkqhkiG9w0BCQ4xGjAYMAkGA1UdEwQCMAAwCwYDVR0PBAQDAgXgMA0GCSqGSIb3
DQEBCwUAA4IBAQAk + 3055XmnjaE0bicZPERagpq1897WvFPSx71kU498J1lBdYbz
RZA / e / 5tc + uqmX6XVEMoGoj69fPF + khgG0vPWdTH0q13lSV / KyKL5qOR9M3 / 9LXH
MG + F4YgTj1QHFVsnQ4gXH91PD7C4fqVV310ETW1qa91QVZu + AD0TWSdD2C9bN7lr
aUw7n605LVhZXcQSh4die7IYVhp3uiHsQvHIJj + NnH18FefxhcVmtLoVWvu0uilj
qIfg / hgJwDPMi4n49GkhdSqwYc // 2yQOiMRCEDPLSyGbiARnWA / l0F + 8VzrUtYc3
ltpinEz8C9QddgW2KjcA3NPSQotiXh0D8Tk0
–END CERTIFICATE REQUEST–
CSR đến từ đâu?
Thông thường, CSR được tạo bởi bạn trên máy chủ web của bạn. Mỗi hệ điều hành máy chủ web xử lý quá trình này khác nhau. Trên Windows / IIS, cPanel và Plesk, có một trình hướng dẫn có hướng dẫn. Trên NGINX / Apache, bạn sử dụng dòng lệnh.
Trong một số trường hợp, bạn sẽ không thể tự tạo CSR. Điều này là phổ biến nhất khi bạn sử dụng shared hosting. Trong tình huống này, bạn thường điền vào mẫu đơn để yêu cầu một CSR.
Khi bạn đã tạo CSR, bạn sẽ dán / tải nó lên mẫu đơn đặt hàng trên trang web của nhà cung cấp SSL của bạn. Họ sẽ sử dụng thông tin trong CSR của bạn để tạo chứng chỉ cho bạn và gửi lại (sau khi bạn đã hoàn tất quy trình xác thực, tùy thuộc vào loại chứng chỉ bạn đã mua, có thể mất vài phút hoặc vài ngày).
Mặc dù bạn sẽ không cần phải sử dụng CSR của mình một lần nữa trong quá trình nhận chứng chỉ SSL, nhưng nó sẽ là tiện lợi nhất để lưu nó. Nếu bạn cần cấp lại chứng chỉ của mình, bạn sẽ cần CSR để khởi động lại quy trình. Tuy nhiên bạn luôn có thể tạo CSR mới, vì vậy đừng băn khoăn nếu bạn mất nó.