CSR证书签名请求生成器 - 在线生成CSR和私钥文件
什么是CSR证书签名请求生成器?
CSR证书签名请求生成器是一款在线工具,帮助你在浏览器中生成Certificate Signing Request(CSR)文件和对应的私钥。CSR用于向证书颁发机构(CA)申请SSL/TLS证书,包含你的域名、组织信息和公钥,所有密钥运算在浏览器本地完成,私钥不会上传到服务器。
为网站启用HTTPS的第一步就是生成CSR文件并提交给CA机构。传统方式需要在服务器上安装OpenSSL并执行命令行操作,容易出错且不直观。本工具让你在浏览器中填写表单即可生成CSR,简单安全。
CSR的核心字段
- CN(Common Name):证书绑定的域名,如www.example.com
- O(Organization):组织或公司名称
- OU(Organizational Unit):部门名称,如IT部
- C(Country):国家代码,如CN表示中国
- ST(State):省份名称
- L(Locality):城市名称
- SAN(Subject Alternative Name):额外的域名或IP,支持多域名证书
支持的密钥类型
RSA 2048
最广泛兼容的密钥长度,适合绝大多数网站和CA机构
RSA 4096
更高安全等级,部分旧设备可能不兼容
ECDSA P256
椭圆曲线算法,密钥更短但安全性等同RSA 3072
使用步骤
- 填写域名(CN)和组织信息
- 添加SAN域名(如需要多域名证书)
- 选择密钥类型和长度(推荐RSA 2048)
- 点击"生成",工具在浏览器中创建CSR和私钥
- 下载CSR提交给CA机构,安全保存私钥
典型应用场景
- 网站HTTPS:为网站申请SSL证书,启用HTTPS加密访问
- 邮件加密:为邮件服务器申请证书,启用TLS加密传输
- API安全:为API服务申请证书,确保通信链路安全
- 内网证书:为内网服务生成自签名证书或CSR
- 代码签名:申请代码签名证书,为软件包添加数字签名
技术实现
本工具使用浏览器内置的Web Crypto API生成密钥对,然后按照PKCS#10标准构造CSR的ASN.1结构并编码为PEM格式。整个密钥生成和CSR构造过程在浏览器本地完成,私钥永远不会离开你的设备。
生成的CSR文件为PEM格式(以-----BEGIN CERTIFICATE REQUEST-----开头),可直接提交给Let's Encrypt、DigiCert、GlobalSign等CA机构。
常见问题
私钥安全吗?
安全。密钥在浏览器本地生成,不会上传到任何服务器。但请务必妥善保存下载的私钥文件,一旦丢失将无法补回,只能重新生成CSR和私钥。
RSA和ECDSA选哪个?
兼容性优先选RSA 2048,几乎所有CA和设备都支持。性能优先选ECDSA P256,密钥更短、握手更快,但少数旧设备可能不兼容。大多数网站推荐RSA 2048。
SAN域名怎么填?
SAN用于多域名证书。如果你的证书需要同时覆盖example.com和www.example.com,以及api.example.com,就把这些域名都添加到SAN列表中。现代浏览器要求域名必须在SAN中。
CSR提交后多久能拿到证书?
取决于CA机构和验证类型。DV证书(域名验证)通常几分钟到几小时;OV证书(组织验证)需要1-3个工作日;EV证书(扩展验证)需要3-7个工作日。
私钥丢了怎么办?
私钥无法恢复。你需要重新生成CSR和私钥,然后向CA重新申请证书。这就是为什么生成私钥后必须立即安全保存的原因。
CSR和证书有什么区别?
CSR是你提交给CA的申请文件,包含你的信息和公钥。证书是CA审核后签发的文件,包含你的信息和CA的数字签名。CSR是申请过程,证书是最终结果。