CSR-generering (alla plattformar)
Komplett guide för att skapa en Certificate Signing Request (CSR) vid beställning av SSL-certifikat, med exempel för Windows, Linux och macOS.
Vad är en CSR?
En Certificate Signing Request (CSR) är ett krypterat textblock som innehåller din organisationsinformation och en publik nyckel. CSR-filen skickas till en certifikatutfärdare (CA) som sedan utfärdar ditt SSL-certifikat baserat på informationen i den.
När du skapar en CSR genereras samtidigt en privat nyckel som måste stanna kvar på serveren. Den privata nyckeln är kopplad till certifikatet och är nödvändig för att SSL/TLS ska fungera.
Denna guide använder OpenSSL. Linux och macOS har OpenSSL förinstallerat. Windows-användare kan ladda ner det kostnadsfritt via länken ovan.
CSR-fält
| Fält | Beskrivning | Exempel |
|---|---|---|
| Common Name (CN) | Domännamnet som certifikatet ska täcka | www.eksempel.dk |
| Organization (O) | Företagsnamn (som registrerat hos Bolagsverket) | FairSSL A/S |
| Organizational Unit (OU) | Avdelning (valfritt, ignoreras av de flesta utfärdare) | IT |
| City/Locality (L) | Stad/Ort | Aarhus |
| State/Province (ST) | Län/Region | Midtjylland |
| Country (C) | Landskod (2 bokstäver) | DK |
Viktigt för OV/EV-certifikat: Organization-fältet måste matcha det officiella företagsnamnet i Bolagsverkets register.
OpenSSL (Linux, macOS, Windows med OpenSSL)
OpenSSL är den mest universella metoden. Verktyget är förinstallerat på Linux och macOS, och kan enkelt installeras på Windows.
Windows: Ladda ner OpenSSL för Windows från slproweb.com/products/Win32OpenSSL.html (Shining Light Productions). Välj "Win64 OpenSSL"-versionen och installera med standardinställningar.
Standard CSR med RSA 2048-bitars nyckel
openssl req -new -newkey rsa:2048 -nodes -keyout privat-noegle.key -out certifikat.csrDu blir ombedd att fylla i CSR-fälten interaktivt. Hoppa över "Challenge password" och "Optional company name" (tryck Enter).
CSR med Subject Alternative Names (SAN)
För certifikat som ska täcka flera domäner, skapa en konfigurationsfil:
# san.cnf
[req]
distinguished_name = req_dn
req_extensions = v3_req
prompt = no
[req_dn]
CN = www.eksempel.dk
O = FairSSL A/S
L = Aarhus
ST = Midtjylland
C = DK
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.eksempel.dk
DNS.2 = eksempel.dk
DNS.3 = mail.eksempel.dkGenerera CSR med konfigurationsfilen:
openssl req -new -newkey rsa:2048 -nodes -keyout privat-noegle.key -out certifikat.csr -config san.cnfVerifiera CSR-innehåll
openssl req -in certifikat.csr -noout -textIIS (Windows Server)
- Öppna IIS Manager (
inetmgr), klicka på servernamnet och dubbelklicka på Server Certificates. - Klicka på Create Certificate Request i Actions-panelen.
- Fyll i fälten för Distinguished Name.
- Välj Microsoft RSA SChannel Cryptographic Provider och nyckelstorlek 2048 bit (minimum).
- Spara CSR-filen.
Exchange Server (PowerShell)
$CSR = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.eksempel.dk, O=FairSSL A/S, L=Aarhus, C=DK" -KeySize 2048 -PrivateKeyExportable $true
Set-Content -Path "C:\mail-eksempel.csr" -Value $CSRNästa steg
- Kopiera hela CSR-texten (inklusive
-----BEGIN CERTIFICATE REQUEST-----och-----END CERTIFICATE REQUEST-----). - Klistra in din CSR i beställningsformuläret i din FairSSL-kontrollpanel.
- Genomför domänvalidering (DV) eller organisationsvalidering (OV/EV).
- Installera det utfärdade certifikatet på den server där din CSR skapades.
Säkerhet
- Använd minst RSA 2048 bitar som nyckelstorlek. 4096 bitar rekommenderas för hög säkerhet.
- Förvara den privata nyckeln säkert. Om nyckeln komprometteras måste certifikatet spärras (revokeras).
- Generera alltid en ny CSR vid förnyelse av certifikatet istället för att återanvända en gammal.
Förbättra din TLS-säkerhet
Använd Mozilla SSL Configuration Generator för att generera en säker TLS-konfiguration med moderna cipher suites och protokollinställningar.
Mozilla SSL Configuration Generator guide