什么是 CSR

[[CSR]] （Certificate Signing Request），即证书签名请求文件，证书申请人在申请数字证书时由 CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请人只需要把 CSR 文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。

申请人需要生成 CSR 文件并提交给证书颁发机构（CA）。CSR 包含了用于签发证书的公钥、用于辨识的名称信息（Distinguished Name）（例如域名）、真实性和完整性保护（例如数字签名），通常从 Web 服务器生成 CSR，同时创建加解密的公钥私钥对。

如何产生 CSR 文件

要生成 CSR 文件，需要在 Linux 系统中，使用 OpenSSL 命令行工具。

然后执行以下命令，即可生成 CSR 文件。

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout $Key_File -out $OpenSSL_CSR

• new：指定生成一个新的 CSR 文件。
• nodes：指定密钥文件不被加密。
• sha256：指定摘要算法。
• newkey rsa:2048：指定密钥类型和长度。
• $Key_File：密钥文件名称。
• $OpenSSL_CSR：加密后文件的存放路径。

根据系统返回的提示，输入 CSR 文件所需的信息。以下是关于提示的说明：

• Country Name（2 letter code）：JP，申请单位所属国家，只能是两个字母的国家码。例如，中国填写为 CN。
• State or Province Name（full name）[Some-State]： Tokyo，州名或省份名称，可以是中文或英文。
• Locality Name(eg, city)[]： Shinagawa，城市名称，可以是中文或英文。
• Organization Name(eg, company) [Internet Widgits Pty Ltd]：公司名称，可以是中文或英文。
• Organizational Unit Name：部门名称，可以是中文或英文。
• Common Name：申请 SSL 证书的具体网站域名。
• Email Address：可选择不输入。
• Challenge Password：可选择不输入。

按照命令提示输入相应内容后，即可在当前目录下获取密钥文件和 CSR 文件。

什么是 pem

[[PEM]] (Privacy Enhanced Mail) 格式是一种用于存储和传输密钥数据的常见格式，通常用于包含加密证书、密钥、数字证书和其他安全相关信息。

PEM 格式的数据通常以文本形式编码，但可以包含二进制数据。PEM 格式的文件通常使用扩展名为 .pem、.crt、.cer、.key 或 .p12。用户可以使用任何文本编辑器打开，但通常更推荐使用 OpenSSL 或其他密码学工具集进行处理。

什么是 pfx

[[PFX]] 是 Personal Information Exchange 的缩写，一种用于存储和传输数字证书和私钥的文件格式。它是一种二进制格式，使用 PKCS#12 标准来存储数据。

PFX 文件通常以 .pfx 或者 .p12 扩展名结尾。

PFX 文件和 PEM 文件的主要区别在于，PFX 文件包含私钥，而 PEM 文件仅包含公钥。这使得 PFX 文件比 PEM 文件更安全一些，因为私钥只能由拥有密码的用户访问。

从 DigiCert 获取证书的流程

从 [[DigiCert]] 公司获取证书的流程：

• 生成 [[CSR]] 文件，提供给 DigiCert
• 等待 DigiCert 发行证书，获取 DigiCert 发行证书
• 将产生 CSR 文件的本地私钥和 DigiCert 发行的证书合并
• 生成 pem 或者 pfx 上传到 [[Azure Key Vault]] 中

从 DigiCert 官网获取证书文件，然后使用命令行工具生成 PFX 文件。

利用 OpenSSL 工具将私钥和证书文件合成 PEM 以及 PFX 文件。

openssl pkcs12 -export -inkey private.key -in certificate.crt -out certificate.pem

合成 PFX 文件

openssl pkcs12 -export -inkey private.key -in certificate.crt -out certificate.pfx