CSR(证书签名请求)是公钥基础设施中的申请人(或订户)向证书颁发机构(CA)发送的消息,请求颁发公钥证书(数字证书)。
为了获得此类证书,申请人首先生成一个密钥对,由一个公钥和一个私钥组成,安全地存储私钥,同时将公钥包含在提交给CA的CSR中。 一旦证书颁发机构验证并批准该请求,它就会向申请人颁发数字证书,并使用 CA 自己的私钥进行数字签名。 除了公钥信息之外,CSR 还包括一个“可分辨名称 (DN)”,其中包含结构化详细信息,例如组织的正式名称和地址。
根据 CSR 颁发证书的认证机构大致可分为两类:公共认证机构和私人认证机构。
公共证书颁发机构是公认的官方实体,其根证书(验证 CA 真实性的证书)预先安装在 Web 浏览器、电子邮件客户端或其他应用中,从而允许自动验证颁发的证书。 可公开访问的服务器的证书(例如 Web 服务器的 SSL 证书或用于安全外部通信的证书)通常必须从公共证书颁发机构获取。
相比之下,私人认证机构则根据其内部运营政策在单个组织或企业内部运营。 私有 CA 颁发的证书不被浏览器或外部系统公开认可为可信证书。 例如,使用私人 CA 颁发的 SSL 证书公开的网站会触发浏览器安全警告,表明该证书缺乏公开验证。 但是,私有 CA 颁发的客户端证书可以在企业内部系统内有效部署以用于身份验证,而不会出现任何实际问题。
此外,F5 在其 BIG-IP 访问策略管理器 (APM) 中提供客户端证书身份验证功能,包括内置私有 CA 功能,以简化客户端证书的管理和部署。