生成CSR

您可以通过以下两种方式的任意一种生成证书签发所需要的CSR文件以及您证书的私钥文件（KEY文件）

CSR是证书签发请求，包含了您要签发证书的域名信息，您在生成CSR的同时也会生成证书所使用的私钥文件（KEY文件），您需要妥善保管好私钥文件

为什么Faker SSL不自动提供CSR和私钥文件？

由于CSR生成伴随私钥文件创建，为了保护您的证书安全性，避免私钥在传输过程中由于特殊原因（例如计算机病毒、不安全网络环境监听干扰）导致数据泄露，因此我们没有采取在服务端生成CSR的做法。

得益于现代浏览器的安全扩展支持，我们计划在近期增加客户端本地生成CSR和私钥的功能。在此之前，您需要自行准备CSR来完成签发流程。

方式一：使用在线服务生成CSR（推荐，易上手）

通过网页交互便捷生成您证书的CSR和私钥文件。

• 请您访问 MySSL
• 在域名一栏，输入您要签发的域名或者IP地址，如下图所示

TIP

• 例如，如果您是要为 abc.com 申请通配符证书，请在域名一栏输入 *.abc.com;
• 如果您是要申请IP地址证书，请在域名一栏输入您实际要签发的公网IPv4地址，例如 223.5.5.5
• 请不要输入其他任何特殊字符（比如空格、下划线）

• 对于省份和城市选项，填写所在城市省份拼音即可
• 密钥算法默认RSA，可保持不变，如果您需要ECC证书，可修改此项为ECC

TIP

RSA证书兼容性更广，但公钥私钥相对较长；ECC证书文件更小一些，相对RSA速度较快，但是不兼容古董硬件。

• 其他高级选项一般无需调整。如您有自定义选项，请务必确保签名哈希算法为 SHA256
• 点击生成按钮，您就可以在下方看到生成的CSR文件和私钥文件，请您务必妥善保管好私钥，否则证书将无法使用！

方式二：在Linux服务器上使用OpenSSL指令生成CSR

您可以使用OpenSSL命令生成证书的CSR和私钥文件,在这里，我们以 qq.com 作为示例域名，请您根据实际情况替换命令中的加粗的域名部分

• 生成私钥，根据您选择的类型（RSA或者ECC公钥），请选用对应的命令，请注意替换其中的“域名”部分为您实际的域名：

  • RSA: openssl genrsa -out ./qq.com.key 2048
  • ECC: openssl ecparam -name prime256v1 -genkey -out ./qq.com.key
  • 经过操作以后，您的私钥文件保存在 qq.com.key 文件中

• 从私钥生成CSR

  • openssl req -new -key ./qq.com.key -out ./qq.com.csr -subj "/CN=*.qq.com"
  • 生成的CSR内容保存于 qq.com.csr，您可以使用cat ./qq.com.csr 来获取其内容