Hvad en CSR indeholder
- Offentlig nøgle — den nøgle der ender i certifikatet.
- Subject — domænet (Common Name) og evt. organisation, land mv.
- SAN-felter — yderligere domæner certifikatet skal dække.
- Signatur — CSR'en er selv-signeret med den tilhørende private nøgle, som bevis på at I ejer nøgleparret.
Den private nøgle forlader aldrig jeres server — den indgår ikke i CSR'en. Det er hele pointen: CA'en ser kun den offentlige nøgle.
Sådan virker flowet
Klassisk: I genererer et nøglepar + en CSR, sender CSR'en til CA'en, CA'en validerer og returnerer et signeret certifikat, og I installerer det sammen med den private nøgle. Hvor grundigt CA'en validerer, afhænger af DV/OV/EV-niveauet.
Hvorfor I sjældent ser en CSR mere
Med ACME-automatisering (Let's Encrypt, ZeroSSL m.fl.) genereres nøgle og CSR automatisk af klienten ved hver fornyelse. I rører den aldrig manuelt. CSR'en findes stadig under motorhjelmen — den er bare blevet usynlig, hvilket er en god ting.
Den private nøgle er det vigtige
Et certifikat er offentligt; sikkerheden afhænger helt af at den private nøgle holdes hemmelig. Lækker den, kan andre efterligne jeres domæne — derfor er kort levetid og styr på fornyelser så vigtigt.
Sådan hjælper CertControl
CertControl holder styr på certifikaterne efter udstedelsen: hvor de er installeret, hvilken nøgle/issuer de bruger, og hvornår de skal fornyes — uanset om de kom fra en manuel CSR eller fra ACME.
Ofte stillede spørgsmål
Indeholder en CSR min private nøgle?
Nej. En CSR indeholder kun den offentlige nøgle og domæneoplysninger. Den private nøgle bliver på jeres server og må aldrig deles.
Skal jeg lave en CSR manuelt?
Ikke hvis I bruger ACME. Klienter til Let's Encrypt, ZeroSSL m.fl. genererer nøgle og CSR automatisk ved hver fornyelse.
Hvad er Common Name i en CSR?
Det primære domæne certifikatet udstedes til. Yderligere domæner angives i SAN-felterne.