En CSR — Certificate Signing Request — er den fil I sender til en CA for at bede om et certifikat. Den indeholder jeres offentlige nøgle og oplysninger om domænet, og den er signeret med jeres private nøgle. Her er hvad den indeholder, og hvorfor I sjældent ser den mere.
Hvad en CSR indeholder
- Offentlig nøgle — den nøgle der ender i certifikatet.
- Subject — domænet (Common Name) og evt. organisation, land mv.
- SAN-felter — yderligere domæner certifikatet skal dække.
- Signatur — CSR'en er selv-signeret med den tilhørende private nøgle, som bevis på at I ejer nøgleparret.
Den private nøgle forlader aldrig jeres server — den indgår ikke i CSR'en. Det er hele pointen: CA'en ser kun den offentlige nøgle.
Sådan virker flowet
Klassisk: I genererer et nøglepar + en CSR, sender CSR'en til CA'en, CA'en validerer og returnerer et signeret certifikat, og I installerer det sammen med den private nøgle. Hvor grundigt CA'en validerer, afhænger af DV/OV/EV-niveauet. Inden I sender den, kan I afkode jeres CSR og bekræfte at domæner og nøgle er korrekte.
Hvorfor I sjældent ser en CSR mere
Med ACME-automatisering (Let's Encrypt, ZeroSSL m.fl.) genereres nøgle og CSR automatisk af klienten ved hver fornyelse. I rører den aldrig manuelt. CSR'en findes stadig under motorhjelmen — den er bare blevet usynlig, hvilket er en god ting.
Den private nøgle er det vigtige
Et certifikat er offentligt; sikkerheden afhænger helt af at den private nøgle holdes hemmelig. Lækker den, kan andre efterligne jeres domæne — derfor er kort levetid og styr på fornyelser så vigtigt.
Sådan hjælper CertControl
CertControl holder styr på certifikaterne efter udstedelsen: hvor de er installeret, hvilken nøgle/issuer de bruger, og hvornår de skal fornyes — uanset om de kom fra en manuel CSR eller fra ACME.
Ofte stillede spørgsmål
Indeholder en CSR min private nøgle?
Nej. En CSR indeholder kun den offentlige nøgle og domæneoplysninger. Den private nøgle bliver på jeres server og må aldrig deles.
Skal jeg lave en CSR manuelt?
Ikke hvis I bruger ACME. Klienter til Let's Encrypt, ZeroSSL m.fl. genererer nøgle og CSR automatisk ved hver fornyelse.
Hvad er Common Name i en CSR?
Det primære domæne certifikatet udstedes til. Yderligere domæner angives i SAN-felterne.