CSR(证书签名请求)是SSL证书的原始文件,包含公钥、证书持有者主体及地理位置等信息,需提交给CA认证中心审核。阿里云在创建证书时会自动生成CSR;仅当需要自定义密钥算法及其强度时,才需要手动创建CSR。创建完成后,提交证书申请时可直接选择已有的CSR。本文介绍如何创建、上传和管理CSR文件。
创建CSR
通过控制台创建CSR时,系统会自动管理私钥,无需手动保管。手动创建的CSR仅适用于同账号同地域使用。
CSR的密钥算法必须与证书订单一致,否则会导致证书申请失败。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在CSR管理页签,单击创建CSR。
在CSR生成工具面板,参考下表完成CSR配置,单击生成证书CSR。
参数
说明
CSR名称
自定义CSR名称。
长度不超过50个字符,仅支持英文大小写字母(a~z和A~Z)、阿拉伯数字(0~9)、下划线(_)、短划线(-)和半角句号(.)。
域名
填写需要申请证书的域名。
说明此处仅支持填写1个域名。如需为多个域名申请同一张SSL证书,请将其他域名填写在其他域名文本框中。
其他域名
填写与域名共用同一张证书的其他域名。支持填写多个域名,多个域名间使用半角逗号(,)分隔。
示例:若要将
www.aliyundoc.com、example.aliyundoc.com和test.aliyundoc.com三个域名绑定在同一张SSL证书上,可将域名设置为www.aliyundoc.com,并将其他域名设置为example.aliyundoc.com,test.aliyundoc.com。联系人
选择负责证书管理的联系人信息(包含姓名、手机号码等)。
如未创建过联系人,可单击新建联系人新建。数字证书管理服务会保存联系人信息,便于后续使用。关于新建联系人的具体配置,请参见配置联系人。
公司
选择申请证书的企业信息(包含名称、电话等)。
如未创建过公司信息,可单击新建公司新建。数字证书管理服务会保存公司信息,便于后续使用。关于新建公司的具体配置,请参见配置公司信息。
密钥算法
选择密钥算法类型。可选值:
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,适用于政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。
密钥强度
选择密钥强度。
RSA算法:2048、3072、4096。
ECC算法:p256、p384、p512。
SM2算法:256。
后续提交证书申请时,可以将CSR生成方式设置为选择已有的CSR并选择已创建的CSR。更多信息,请参见申请证书。
上传CSR
如果已在本地生成CSR文件,可将其上传至控制台以便在申请证书时统一管理和使用。上传CSR时不需要提供私钥文件。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在CSR管理页签,单击上传CSR。
在上传CSR面板,设置以下参数后单击确定。
参数
说明
CSR名称
自定义CSR名称。
长度不超过50个字符,仅支持英文大小写字母(a~z和A~Z)、阿拉伯数字(0~9)、下划线(_)和短划线(-)。
CSR文件内容
填写CSR文件内容。
可使用文本编辑工具打开CSR文件,复制全部内容并粘贴到文本框中;也可单击文本框下方的上传文件解析,从本地计算机选择CSR文件上传,系统将自动解析并填充文件内容。
私钥内容
填写证书私钥的PEM编码。
可使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传文件解析并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
后续提交证书申请时,您可以将CSR生成方式设置为选择已有的CSR并选择已上传的CSR。更多信息,请参见申请证书。
更多操作
获取CSR内容及私钥
可以通过以下步骤获取已创建或已上传CSR的内容及私钥。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在CSR管理页签,定位到目标CSR,单击操作列下的详情。
在详情面板,单击查看csr内容、私钥内容。
在提示对话框,单击确定。系统弹出提示请妥善保管CSR、私钥,单击确定。
删除CSR
如果不再需要某个CSR,可以将其删除。
如果在提交证书申请时使用了某个CSR,而该证书尚未签发,请勿删除对应的CSR,否则可能导致证书签发失败。CSR删除后无法恢复,请谨慎操作。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在CSR管理页签,定位到目标CSR,单击删除。
在弹出的对话框,单击确认并删除。