CSR,全称Certificate Signing Request(证书签发请求),是一种包含了公钥和与主题(通常是实体的信息,如个人或组织)相关的其他信息的数据结构。CSR通常用于向证书颁发机构(Certificate Authority,CA)申请数字证书。下面是CSR的详细介绍:

CSR 的结构

一个典型的CSR包含以下关键信息:

  1. 主题信息(Subject):这部分信息包括了证书的使用者(通常是个人或实体)的详细信息。主题信息可以包括以下字段:
    • Common Name (CN):通常是个体的名称或主机名。
    • Organization (O):个体所属的组织。
    • Organizational Unit (OU):组织内的部门或单位。
    • Locality (L):个体所在地的城市或地理位置。
    • State (ST):个体所在地的州或省份。
    • Country (C):个体所在地的国家代码。
  2. 公钥(Public Key):CSR包含了与证书请求者相关的公钥。这个公钥用于加密和数字签名。
  3. 扩展信息:除了主题信息和公钥,CSR还可以包含各种扩展信息,以指定证书的用途、有效期、密钥用途等。常见的扩展包括密钥用途扩展(Key Usage)、扩展密钥用途(Extended Key Usage)、基本约束(Basic Constraints)等。
  4. 签名算法:CSR也包含用于签署CSR的签名算法(通常是RSA或ECDSA)。

CSR 的生成

生成CSR通常包括以下步骤:

  1. 生成密钥对:首先,生成一个密钥对,其中包括公钥和私钥。通常使用RSA或ECDSA算法生成密钥。
  2. 创建主题信息:确定要包含在CSR中的主题信息。这些信息将在颁发证书时显示在证书上。
  3. 创建 CSR:使用上述的主题信息和生成的公钥创建CSR。CSR是一个包含上述信息的数据结构,可以在编程中生成,也可以使用CSR生成工具。
  4. 签署 CSR:通常,CSR需要使用私钥进行签名,以确保CSR的完整性。签名的结果包括CSR的签名部分。

提交 CSR

一旦CSR生成完成,它通常会被提交给证书颁发机构(CA)来获取数字证书。CA将对CSR进行验证,并根据验证结果签发相应的数字证书。验证通常涉及对主题信息的验证,确保申请者的身份合法性。

CSR 的应用

CSR通常用于以下场景:

  • HTTPS 证书申请:网站管理员通常会生成CSR并将其提交给CA,以获取HTTPS证书,以便在安全的HTTPS连接中使用。
  • 代码签名:开发者可以生成CSR,用于获取代码签名证书,以确保其代码在分发和执行时的完整性和真实性。
  • 身份验证:CSR也可用于生成客户端证书,用于SSL/TLS客户端身份验证,例如在虚拟专用网络(VPN)或企业网络中。

CSR是建立公共密钥基础设施(PKI)中的信任和安全通信的关键组成部分。通过创建并提交CSR,申请者可以获得数字证书,从而实现安全通信和身份验证。

示例代码

在Go中生成证书签发请求(Certificate Signing Request,CSR)以及通过CSR生成证书通常需要使用Go语言的crypto/x509crypto/x509/pkix包,以及私钥和公钥管理的包,比如crypto/rsa。以下是一个简单的示例,演示如何生成CSR并通过CSR生成自签名证书。

生成CSR:

首先,我们将生成CSR(Certificate Signing Request)。CSR包含了公钥、主题信息以及其他证书请求的相关信息。以下是一个示例代码:

package main

import (
    "crypto/rand"
    "crypto/rsa"
    "crypto/x509"
    "crypto/x509/pkix"
    "encoding/pem"
    "fmt"
    "os"
    "time"
)

func generateCSR() ([]byte, *rsa.PrivateKey, error) {
    privKey, err := rsa.GenerateKey(rand.Reader, 2048)
    if err != nil {
        return nil, nil, err
    }

    subject := pkix.Name{
        CommonName:         "example.com",
        Organization:       []string{"My Organization"},
        OrganizationalUnit: []string{"IT"},
        Locality:           []string{"City"},
        Province:           []string{"State"},
        Country:            []string{"US"},
    }

    template := x509.CertificateRequest{
        Subject:            subject,
        SignatureAlgorithm: x509.SHA256WithRSA,
    }

    csrDER, err := x509.CreateCertificateRequest(rand.Reader, &template, privKey)
    if err != nil {
        return nil, nil, err
    }

    csrPEM := pem.EncodeToMemory(&pem.Block{
        Type: "CERTIFICATE REQUEST",
        Bytes: csrDER,
    })

    return csrPEM, privKey, nil
}

func main() {
    csrPEM, privKey, err := generateCSR()
    if err != nil {
        fmt.Println("Error generating CSR:", err)
        return
    }

    csrFile, err := os.Create("example.csr")
    if err != nil {
        fmt.Println("Error creating CSR file:", err)
        return
    }
    defer csrFile.Close()
    csrFile.Write(csrPEM)

    // Optionally, you can save the private key
    keyFile, err := os.Create("private.key")
    if err != nil {
        fmt.Println("Error creating private key file:", err)
        return
    }
    defer keyFile.Close()
    keyPEM := pem.EncodeToMemory(&pem.Block{
        Type: "RSA PRIVATE KEY",
        Bytes: x509.MarshalPKCS1PrivateKey(privKey),
    })
    keyFile.Write(keyPEM)

    fmt.Println("CSR and private key generated successfully.")
}

上述代码生成了一个自签名证书请求(CSR),其中包括了公钥、主题信息和签名算法等。私钥也被生成并保存到文件中。

生成自签名证书:

生成自签名证书的过程需要使用之前生成的CSR和私钥。以下是一个示例代码:

package main

import (
    "crypto/x509"
    "encoding/pem"
    "fmt"
    "io/ioutil"
    "os"
    "time"
)

func generateCertificate(csrFile, keyFile string) error {
    // Read CSR
    csrPEM, err := ioutil.ReadFile(csrFile)
    if err != nil {
        return err
    }

    block, _ := pem.Decode(csrPEM)
    if block == nil {
        return fmt.Errorf("failed to parse PEM block containing the CSR")
    }

    csr, err := x509.ParseCertificateRequest(block.Bytes)
    if err != nil {
        return err
    }

    // Read private key
    keyPEM, err := ioutil.ReadFile(keyFile)
    if err != nil {
        return err
    }

    block, _ = pem.Decode(keyPEM)
    if block == nil {
        return fmt.Errorf("failed to parse PEM block containing the private key")
    }

    key, err := x509.ParsePKCS1PrivateKey(block.Bytes)
    if err != nil {
        return err
    }

    // Create a self-signed certificate
    template := x509.Certificate{
        SerialNumber: big.NewInt(1),
        Subject:      csr.Subject,
        NotBefore:    time.Now(),
        NotAfter:     time.Now().AddDate(1, 0, 0),
        KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
    }

    derBytes, err := x509.CreateCertificate(rand.Reader, &template, &template, &key.PublicKey, key)
    if err != nil {
        return err
    }

    // Save the self-signed certificate to a file
    certFile, err := os.Create("selfsigned.crt")
    if err != nil {
        return err
    }
    defer certFile.Close()
    certPEM := pem.EncodeToMemory(&pem.Block{
        Type: "CERTIFICATE",
        Bytes: derBytes,
    })
    certFile.Write(certPEM)

    return nil
}

func main() {
    err := generateCertificate("example.csr", "private.key")
    if err != nil {
        fmt.Println("Error generating certificate:", err)
        return
    }

    fmt.Println("Self-signed certificate generated successfully.")
}

上述代码读取之前生成的CSR和私钥,然后使用这些信息创建了一个自签名证书。证书的有效期、密钥用途等信息可以根据需要进行调整。最后,它将生成的自签名证书保存到文件中。


孟斯特

声明:本作品采用署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)进行许可,使用时请注明出处。
Author: mengbin
blog: mengbin
Github: mengbin92
cnblogs: 恋水无意