在申請數位憑證之前,您必須先產生認證私密金鑰和認證請求檔案(Certificate Signing Request,簡稱 CSR)。CSR檔案是您的密鑰憑證原始檔案,包含了您的伺服器資訊和您的單位資訊,需要提交給CA認證中心進行審核。

说明 建議您使用系統提供的系統建立CSR功能,避免出現內容不正確而導致的審核失敗。關於審核失敗詳細資料,請參考審核失敗 - 主網域名稱不可為空

手動產生CSR檔案的同時會產生私密金鑰檔案,請務必妥善保管和備份您的私密金鑰。

您手動產生CSR檔案時,一般需要輸入以下資訊:
说明 輸入的中文資訊需要使用UTF8編碼格式。
  • Organization Name(O): 申請單位名稱法定名稱,可以是中文或英文。
  • Organization Unit(OU): 申請單位的所在部門,可以是中文或英文。
  • Country Code(C): 申請單位所屬國家,只能是兩個字母的國家碼。例如,中國只能是CN。
  • State or Province(S): 申請單位所在省名或州名,可以是中文或英文。
  • Locality(L): 申請單位所在城市名,可以是中文或英文。
  • Common Name(CN): 申請SSL認證的具體網站網域名稱。
说明 認證服務系統對CSR檔案的密鑰長度有嚴格要求,密鑰長度必須是2,048位,密鑰類型必須為RSA。如果申請認證是多網域名稱或者通配子網域名稱,在 Common NameWhat is your first and last name?欄位只需要輸入一個網域名稱即可(通配子網域名稱可以輸入*.example.com等)。

使用OpenSSL工具產生CSR檔案

  1. 安裝OpenSSL工具
  2. 執行命令openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr產生CSR檔案。其中,
    • -new 指定產生一個新的CSR。
    • -nodes 指定私密金鑰檔案不被加密。
    • -sha256 指定摘要演算法。
    • -keyout 產生私密金鑰檔案。
    • -newkey rsa:2048 指定私密金鑰類型和長度。
  3. 產生CSR檔案mydomain.csr

    需要輸入的資訊說明如下:
    欄位 說明 樣本
    Country Name ISO國家代碼(兩位字元) CN
    State or Province Name 所在省份 ZheJiang
    Locality Name 所在城市 HangZhou
    Organization Name 公司名稱 HangZhou xxx Technologies, Inc.
    Organizational Unit Name 部門名稱 IT Dept.
    Common Name 申請認證的網域名稱 www.example.com
    Email Address 不需要輸入 -
    A challenge password 不需要輸入 -
    完成命令提示的輸入後,會在目前的目錄下產生myprivate.key(私密金鑰檔案)和 mydomain.csr(CSR,認證請求檔案)兩個檔案。
说明 在使用OpenSSL工具產生中文認證時需要注意中文編碼格式必須使用UTF8編碼格式。同時,需要在編譯OpenSSL工具時指定支援UTF8編碼格式。

如果您需要輸入中文資訊,建議您使用Keytool工具產生CSR檔案。

使用Keytool工具產生CSR檔案

  1. 安裝Keytool工具,Keytool工具一般包含在Java Development Kit(JDK)工具包中。
  2. 使用Keytool工具產生keystore認證檔案。
    说明 Keystore認證檔案中包含密鑰,匯出密鑰方式請參考主流數位憑證都有哪些格式
    1. 執行命令keytool -genkey -alias mycert -keyalg RSA -keysize 2048 -keystore ./mydomain.jks產生 keystore認證檔案。其中,
      • -keyalg 指定密鑰類型,必須是RSA。
      • -keysize 指定密鑰長度為 2,048。
      • -alias 指定認證別名,可自訂。
      • -keystore 指定認證檔案儲存路徑。


    2. 輸入認證保護密碼,然後根據下表依次輸入所需資訊:
      問題 說明 樣本
      What is your first and last name? 申請認證的網域名稱 www.example.com
      What is the name of your organizational unit? 部門名稱 IT Dept.
      What is the name of your organization? 公司名稱 HangZhou xxx Technologies,Ltd.
      What is the name of your City or Locality? 所在城市 HangZhou
      What is the name of your State or Province? 所在省份 ZheJiang
      What is the two-letter country code for this unit? ISO 國家代碼(兩位字元) CN
      輸入完成後,確認輸入內容是否正確,輸入Y表示正確。
    3. 根據提示輸入密鑰密碼。可以與認證密碼一致,如果一致直接按斷行符號鍵即可。
  3. 通過認證檔案產生認證請求。
    1. 執行命令keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore ./mydomain.jks -file ./mydomain.csr產生CSR檔案。其中,
      • sigalg指定摘要演算法,使用SHA256withRSA。
      • alias指定別名,必須與keystore檔案中的認證別名一致。
      • keystore指定認證檔案。
      • file指定認證請求檔案(CSR)。
    2. 根據提示輸入認證密碼即可以產生mydomain.csr