CSR 与密钥库
CSR(Certificate Signing Request)是向 CA 申请证书时提交的签名请求;与之成对的是 私钥,必须严格保密。
基本概念
| 术语 | 说明 |
|---|---|
| 私钥 | 保存在您一侧,用于 TLS 握手解密,泄露即失去安全保证 |
| CSR | 含公钥与域名信息,可安全提交给 CA |
| 证书(CRT) | CA 签发后返回,与私钥配对使用 |
推荐做法
在本地生成密钥对,仅将 CSR 提交给平台。
- 私钥从不离开您的服务器或本机
- 适合安全要求高的生产环境
若使用站内生成功能,请务必 立即下载并备份私钥。
密钥库功能
路径:CSR / 密钥库(登录后顶部用户菜单或页脚链接)。
方式一:上传 CSR
- 本地生成 CSR 与私钥
- 在密钥库「上传」仅粘贴 CSR
- 私钥保留在本地
- 下单时从密钥库选择该 CSR
方式二:站内生成
- 填写域名、密钥类型(RSA / EC)等
- 系统生成密钥对并保存 CSR
- 立即下载私钥 并安全备份
- 下单时从密钥库选择
管理记录
- 查看 CSR 详情与 PEM 内容
- 下载 CSR 或私钥(下载私钥时可能需再次输入登录密码)
- 删除不再使用的记录
在订单中使用
填写订单 SSL 信息时:
- CSR 来源选择「从密钥库选择」
- 选中对应记录
- 申请域名自动取自 CSR 的 CN
为部署保存私钥
一键部署 到阿里云/腾讯云需要私钥。可选方式:
- 使用站内生成且私钥仍在密钥库中
- 在 证书详情 单独保存私钥(加密存储)
Webhook 部署可仅推送证书链,私钥视接收端需求而定。
密钥类型选择
| 类型 | 说明 |
|---|---|
| RSA 2048 | 兼容性最好,通用推荐 |
| EC(如 P-256) | 更短密钥、性能更好,主流客户端均支持 |
安全提示
⚠️ 重要警告
- 私钥丢失且未备份:无法恢复,只能重新生成 CSR 并重签或新购
- 私钥泄露:应立即重签并更换密钥对
- 勿将私钥提交至公开仓库、工单或即时通讯
OpenSSL 快速参考
本地生成 RSA 密钥对与 CSR:
openssl genrsa -out private.key 2048
openssl req -new -key private.key -out request.csr
按提示填写 CN(Common Name)为您的域名。