“CSR 域名”这个说法通常指的是在生成 证书签名请求 (Certificate Signing Request – CSR) 时,需要指定的与该数字证书关联的域名(主机名)。
理解 CSR 和域名的关系:
-
什么是 CSR?
- 当你需要为一个网站(或服务器)申请 SSL/TLS 证书(用于启用 HTTPS 加密)时,第一步就是生成一个 CSR。
- CSR 是一个包含你的公钥以及关于你的服务器和组织信息的加密文本文件。
- 这个 CSR 文件会提交给你选择的证书颁发机构 (CA),如 DigiCert, Sectigo, Let’s Encrypt 等。
- CA 使用 CSR 中的信息(特别是公钥)来创建和签署最终的 SSL/TLS 证书。
-
CSR 中的域名信息:
- CSR 中最关键的信息之一就是你希望证书保护的域名。
- 这主要在 CSR 的
Common Name (CN)字段中指定。 - 对于现代的 SSL/TLS 证书(特别是支持多域名或通配符的证书),域名信息还会在
Subject Alternative Name (SAN)扩展字段中列出。
CSR 中与域名相关的关键字段:
-
Common Name (CN):- 这是 CSR 中最核心的域名字段。
- 对于单个域名的证书,
CN应该是你要保护的完全限定域名,www.example.com或example.com。 - 对于通配符证书,
CN应该写成通配符形式,*.example.com(保护example.com的所有一级子域名)。 - 注意:根据 CA/B 论坛的规定,现代实践中,即使对于单域名证书,
CN字段虽然仍需填写主域名,但浏览器主要校验的是SAN列表。SAN字段才是所有现代浏览器和客户端强制要求并用于验证域名匹配的。
-
Subject Alternative Name (SAN):- 这是一个扩展字段,绝对至关重要。
- 它允许你在一个证书中指定多个需要保护的域名或主机名。
- 你可以同时保护:
example.comwww.example.commail.example.comshop.example.com- 甚至其他完全不同的域名(多域名证书/UCC 证书)。
- 通配符域名也必须在这里明确列出,
*.example.com,仅写在CN里是不够的。 - 浏览器和客户端会严格检查请求的域名是否在证书的
SAN列表中。CN字段在现代验证中已退居次要地位。
为什么 CSR 中的域名必须准确?
- 证书匹配: CA 会根据你 CSR 中提供的域名来签发证书,如果域名拼写错误(如
exmaple.com)或者遗漏了子域名(如忘记www),那么签发的证书将无法正确保护你实际的网站地址,用户在访问时浏览器会显示安全警告(如“域名不匹配”错误)。 - 安全基础: SSL/TLS 证书的核心功能之一就是验证服务器的身份,域名是身份验证的关键部分,错误的域名信息会破坏这种信任。
- CA 验证: CA 在签发证书前,会对你在 CSR 中声明的域名所有权进行验证(通常通过 DNS 记录、HTTP 文件或邮箱验证),CSR 中的域名信息不准确,你将无法通过验证,也就拿不到证书。
当人们提到 “CSR 域名” 时,他们指的是在创建证书签名请求 (CSR) 过程中,必须准确无误地填写在 Common Name (CN) 字段,并且更重要的是,完整地列在 Subject Alternative Name (SAN) 扩展字段中的那些域名或主机名,这些域名决定了最终签发的 SSL/TLS 证书可以保护哪些网站地址。
生成 CSR 时关于域名的关键点:
- 准确性: 仔细检查域名拼写,确保没有错别字。
- 完整性: 确定你需要保护哪些具体的域名(
example.com)、子域名(www.example.com,mail.example.com)、通配符(*.example.com)或其他主机名。 - SAN 为王: 务必将所有需要保护的域名(包括通配符)都添加到
SAN列表中,不要只依赖CN字段。 - 工具: 使用可靠的 CSR 生成工具(如 OpenSSL 命令行、Web 服务器控制面板、在线生成工具等),并确保这些工具允许你正确设置
CN和添加SAN。
简而言之,没有正确指定域名的 CSR,就无法获得能保护你网站的有效 SSL/TLS 证书。
图片来源于AI模型,如侵权请联系管理员。作者:酷小编,如若转载,请注明出处:https://www.kufanyun.com/ask/290093.html
