Certificate signing request

Bách khoa toàn thư mở Wikipedia
Buớc tưới chuyển hướng Bước tới tìm kiếm

Trong hệ thống Hạ tầng khóa công khai (PKI), một certificate signing request (CSR) là một văn bản chứa thông tin của chủ sở hữu tên miền được mã hóa từ máy chủ, được tạo ra trước khi gởi yêu cầu tới nhà cung cấp chứng thực số (certificate authority) để được tạo ra một chứng thực số SSL.[1]

Tổng quát[sửa | sửa mã nguồn]

Hệ thống khóa công khai (PKI) cho phép trao đổi dữ liệu an toàn trên Internet giữa các bên đã được xác minh. Trong một hệ thống như vậy, một CSR phải được tạo ra trước khi nhà cung cấp chứng thực số dùng nó để cấp một chứng thực số SSL. Để tạo ra một CSR phải cần có một cặp khóa số. Chúng có thể được tạo ra trước hay trong quá trình tạo ra CSR tùy theo phần mềm máy chủ. Khóa cá nhân được sử dụng để giải mã dữ liệu được mã hóa và tạo chữ ký số. Khóa công khai được sử dụng để mã hóa dữ liệu và để xác minh chữ ký số. Cả cặp khóa và CSR phải được tạo trên máy chủ nơi chứng chỉ SSL được dùng. Điều này là cần thiết để đảm bảo tính toàn vẹn của cặp khóa và PKI nói chung. CSR chứa thông tin xác định máy chủ (chẳng hạn như tên phân biệt (tên miền đầy đủ (FQDN) trong trường hợp một chứng thực X.509) phải được ký bằng khóa cá nhân. CSR cũng chứa khóa công khai.[1]

Sau khi nhận được CSR, CA sẽ sử dụng tất cả các dữ liệu cần thiết từ CSR (xem bảng) để cấp chứng chỉ. Nếu CSR hợp lệ, CA sẽ cấp và ký chứng thực SSL bằng khóa cá nhân của CA.

Thông tin điển hình được đòi hỏi trong một CSR:

Thông tin Giải thích
Tên phân biệt (DN) Tên miền đầy đủ, bạn muốn xác minh: Thí dụ 'www.example.com’, hay 'mail.example.com', hoặc 'server1.example.com'
Tên tổ chức Tên chính thức, nên thêm vào loại Ltd., Inc., hay Corp.
Tên bộ phận HR, Finance, IT
Thành phố London, Waterford, Paris, New York, Dhaka, Kochi
Vùng, Tiểu bang Sussex, Normandy, New Jersey, không nên viết tắt
Quốc gia Nên dùng mã ISO code có chứa 2 chữ cho quốc gia nơi tổ chức có cơ sở GB, FR.
Địa chỉ thư điện tử Địa chỉ để liên lạc.

Dụng cụ[sửa | sửa mã nguồn]

OpenSSL có thể giải mã CSR cục bộ, mà không truyền thông tin nhạy cảm qua các mạng không an toàn.

Chú thích[sửa | sửa mã nguồn]

  1. ^ a ă CSR (Certificate Signing Request), searchsecurity.de, tháng 6 năm 2015