如何製作CSR文件?__常見問題_產品常見問題_證書服務-阿裏雲

強烈建議采用係統提供的創建CSR功能，避免出現內容不正確而導致的審核失敗，請參考文章： 審核失敗 - 主域名不能為空

在申請數字證書之前，您必須先生成證書私鑰和證書請求文件(CSR,Cerificate Signing Request),CSR是您的公鑰證書原始文件，包含了您的服務器信息和您的單位信息，需要提交給CA認證中心。在生成CSR文件時會同時生成私鑰文件，請妥善保管和備份您的私鑰。

生成CSR文件時，一般需要輸入以下信息(中文需要UTF8編碼)：
Organization Name(O)：申請單位名稱法定名稱，可以是中文或英文
Organization Unit(OU)：申請單位的所在部門，可以是中文或英文
Country Code(C)：申請單位所屬國家，隻能是兩個字母的國家碼，如中國隻能是：CN
State or Province(S)：申請單位所在省名或州名，可以是中文或英文
Locality(L)：申請單位所在城市名，可以是中文或英文
Common Name(CN)：申請SSL證書的具體網站域名

1. 使用OpenSSL工具生成CSR文件:

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr

-new 指定生成一個新的CSR，nodes指定私鑰文件不被加密, sha256 指定摘要算法，keyout生成私鑰, newkey rsa:2048 指定私鑰類型和長度，最終生成CSR文件mydomain.csr。

需要輸入的信息說明如下：

,完成命令提示的輸入後，會在當前目錄下生成myprivate.key(私鑰文件)和mydomain.csr(CSR，證書請求文件)兩個文件。

在使用openssl工具生成中文證書時需要注意中文編碼格式，使用utf8編碼，同時需要編譯openssl工具時指定支持utf8格式。

如果對中文有需求，推薦您使用keytool工具。

2. 使用keytool工具生成CSR文件:

• 2.1 先生成證書文件keystore, 證書文件中包含密鑰, 導出密鑰方式請參考 主流數字證書都有哪些格式？

keytool -genkey -alias mycert -keyalg RSA -keysize 2048 -keystore ./mydomain.jks

keyalg是密鑰類型,必須是RSA, keysize是密鑰長度為2048, alias 是證書別名可自定義, keystore是證書文件保存路徑。

首先輸入證書保護密碼，然後依次輸入：

輸入完成後，確認輸入內容是否正確：[no]: Y (輸入Y)

而後提示輸入密鑰密碼,可以與證書密碼一致,如果一致則直接按回車。

• 2.2 通過證書文件生成證書請求: 

keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore ./mydomain.jks -file ./mydomain.csr

sigalg是摘要算法，使用SHA256withRSA, alias 是別名，必須與2.1步中的別名一致，keystore是證書文件，file是證書請求文件(CSR)，而後提示輸入證書密碼即可以生成mydomain.csr。

需要注意的是：我們對CSR的密鑰長度有嚴格要求，要求是2048位，密鑰類型必須為RSA。如果申請證書是多域名或者通配子域名，在“Common Name”或”What is your first and last name?” 字段隻需要輸入一個域名即可(通配子域名可以輸入“*.example.com”等)。