如何生成csr文件

葫蘆島ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

CSR，Certificate Signing Request，是制作SSL 證書的必要步驟。一個 CSR 文件中描述了 SSL 證書持有人的信息（如個人姓名或公司名稱）、聯(lián)系地址等，用于驗證 SSL 證書和域名是同一個人持有，以確保網(wǎng)站的合法性。

在申請數(shù)字證書之前，您必須先生成證書私鑰和證書請求文件(CSR,Cerificate Signing Request),CSR是您的公鑰證書原始文件，包含了您的服務(wù)器信息和您的單位信息，需要提交給CA認證中心。在生成CSR文件時會同時生成私鑰文件，請妥善保管和備份您的私鑰。
生成CSR文件時，一般需要輸入以下信息(中文需要UTF8編碼)：
Organization Name(O)：申請單位名稱法定名稱，可以是中文或英文
Organization Unit(OU)：申請單位的所在部門，可以是中文或英文
Country Code(C)：申請單位所屬國家，只能是兩個字母的國家碼，如中國只能是：CN
State or Province(S)：申請單位所在省名或州名，可以是中文或英文
Locality(L)：申請單位所在城市名，可以是中文或英文
Common Name(CN)：申請 SSL證書的具體網(wǎng)站域名
一. 使用OpenSSL工具生成CSR文件:
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr

-new 指定生成一個新的CSR，nodes指定私鑰文件不被加密, sha256 指定摘要算法，keyout生成私鑰, newkey rsa:2048 指定私鑰類型和長度，最終生成CSR文件mydomain.csr。
需要輸入的信息說明如下：

完成命令提示的輸入后，會在當(dāng)前目錄下生成myprivate.key(私鑰文件)和mydomain.csr(CSR，證書請求文件)兩個文件。

在使用openssl工具生成中文證書時需要注意中文編碼格式，使用utf8編碼，同時需要編譯openssl工具時指定支持utf8格式。

如果對中文有需求，推薦您使用keytool工具。

1. 使用keytool工具生成CSR文件:

• 1 先生成證書文件keystore, 證書文件中包含密鑰, 導(dǎo)出密鑰方式請參考  主流數(shù)字證書都有哪些格式？

keytool -genkey -alias mycert -keyalg RSA -keysize 2048 -keystore ./mydomain.jks

keyalg是密鑰類型,必須是RSA, keysize是密鑰長度為2048, alias 是證書別名可自定義, keystore是證書文件保存路徑。

首先輸入證書保護密碼，然后依次輸入：

輸入完成后，確認輸入內(nèi)容是否正確：[no]: Y (輸入Y)

而后提示輸入密鑰密碼,可以與證書密碼一致,如果一致則直接按回車。

• 2 通過證書文件生成證書請求:

keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore ./mydomain.jks -file ./mydomain.csr

sigalg是摘要算法，使用SHA256withRSA, alias 是別名，必須與2.1步中的別名一致，keystore是證書文件，file是證書請求文件(CSR)，而后提示輸入證書密碼即可以生成mydomain.csr。

需要注意的是：我們對CSR的密鑰長度有嚴格要求，要求是2048位，密鑰類型必須為RSA。如果申請證書是多域名或者通配子域名，在“Common Name”或”What is your first and last name?” 字段只需要輸入一個域名即可(通配子域名可以輸入“*.example.com”等)。

二、 Apache 生成證書請求文件(CSR文件)

（1）方法一( 通過工具)

該方法非常簡單，通過我們【數(shù)字證書工具–>在線生成CSR工具】進行CSR產(chǎn)生:
1、輸入相關(guān)參數(shù)       

2、點擊“生成CSR”按鈕，如果上述參數(shù)OK，出現(xiàn)如下轉(zhuǎn)換結(jié)果，然后復(fù)制或下載對應(yīng)的CSR文件(certreq.csr)和Key文件（mykey.key）

(如果上述”郵箱”參數(shù)填寫了,那么服務(wù)器自動把產(chǎn)生的CSR文件和對應(yīng)的Key文件發(fā)送到您的郵箱)

3、備份私鑰并提交證書請求（CSR）

將生成的certreq.csr文件發(fā)送給易維信(EVTrust)support@evtrust.com郵箱，備份mykey.key文件，等待證書的簽發(fā)。
（注意：在您收到證書簽發(fā)郵件并部署好SSL之前，請不要刪除mykey.key文件，以避免私鑰丟失而導(dǎo)致證書無法安裝。）

（二）方法二（ 通過命令行）

該方法基于命令行方式實現(xiàn)，通過openssl工具進行產(chǎn)生:

(示例中 粗體部分為可自定義部分，可根據(jù)實際配置情況相應(yīng)修改)
1、安裝openssl

openssl安裝包下載，請參考openssl官方網(wǎng)站：http://www.openssl.org/source/；或其他提供下載的網(wǎng)站。

2、生成私鑰

openssl genrsa -out D:\  mykey.key 2048

#運行openssl命令，生成2048位長的私鑰mykey.key文件。如果您需要對 mykey.key 添加保護密碼，請使用 -des3 擴展命令。Windows環(huán)境下不支持加密格式私鑰， Linux環(huán)境下使用加密格式私鑰時，每次重啟Apache都需要您輸入該私鑰密碼（例：openssl genrsa -des3 -out mykey.key 2048）。

3、生成證書請求文件(CSR)

openssl req -new -subj “/ CN=www.evtrust.com/OU=”IT Dept”/O=”Shenzhen EVTrust Co.,Ltd.”/L=Shenzhen/ST=Guangdong/C=CN” -key  D:\mykey.key -out  D:\certreq.csr

或

openssl req -new -key  D:\mykey.key -out  D:\certreq.csr #輸入命令后，出車
–>Country Name： #您所在國家的ISO標準代號，中國為CN
–>State or Province Name： //您單位所在地省/自治區(qū)/直轄市，比如：Guangdong
–>Locality Name： //您單位所在地的市/縣/區(qū) ,比如：Shenzhen
–>Organization Name： //您單位/機構(gòu)/企業(yè)合法的名稱 ,比如：Shenzhen EVTrust Co.,Ltd.
–>Organizational Unit Name： //部門名稱 ，比如:IT Dept
–>Common Name： //通用名，比如：www.evtrust.com ； 此項必須與您訪問提供SSL服務(wù)的服務(wù)器時所應(yīng)用的域名完全匹配。
–>Email Address： //您的郵件地址，不必輸入，直接回車跳過
–>”extra”attributes //以下信息不必輸入，回車跳過直到命令執(zhí)行完畢。

4、備份私鑰并提交證書請求（CSR）

將生成的certreq.csr文件發(fā)送給易維信(EVTrust)support@evtrust.com郵箱，備份mykey.key文件，等待證書的簽發(fā)。
（注意：在您收到證書簽發(fā)郵件并部署好SSL之前，請不要刪除mykey.key文件，以避免私鑰丟失而導(dǎo)

全球可信CA機構(gòu)