O Que e uma CSR?
Uma Certificate Signing Request (CSR) ou Requisicao de Assinatura de Certificado e um bloco de texto codificado que voce envia a uma Autoridade Certificadora (CA) para solicitar um certificado SSL/TLS. Contem sua chave publica e informacoes sobre sua organizacao e dominio.
O Que Contem uma CSR
Uma CSR contem os seguintes campos:
| Campo | Abreviacao | Exemplo |
|---|---|---|
| Nome Comum | CN | www.exemplo.com |
| Organizacao | O | Exemplo Ltda. |
| Unidade Organizacional | OU | Departamento de TI |
| Cidade | L | Sao Paulo |
| Estado | ST | SP |
| Pais | C | BR (codigo ISO de 2 letras) |
| Chave Publica | - | RSA 2048-bit ou ECDSA |
Como Funciona a Emissao de Certificados SSL
- Gerar par de chaves: Voce cria uma chave privada e CSR no seu servidor
- Enviar CSR: Envie a CSR para uma Autoridade Certificadora (Let's Encrypt, DigiCert, etc.)
- Verificacao: A CA verifica que voce possui o dominio (validacao DNS, HTTP ou email)
- Certificado emitido: A CA assina sua chave publica e retorna o certificado
- Instalar: Voce instala o certificado no seu servidor web
Gerando uma CSR com OpenSSL
# Gerar chave privada e CSR em um comando
openssl req -new -newkey rsa:2048 -nodes \
-keyout servidor.key -out servidor.csr \
-subj "/C=BR/ST=SP/L=Sao Paulo/O=Exemplo Ltda/CN=www.exemplo.com"
# Ver conteudo da CSR
openssl req -in servidor.csr -noout -textFormato da CSR
Uma CSR e codificada em Base64 e se parece com isso:
-----BEGIN CERTIFICATE REQUEST-----
MIICYDCCAUgCAQAwGzEZMBcGA1UEAwwQd3d3LmV4YW1wbGUuY29t
... (dados codificados em base64) ...
-----END CERTIFICATE REQUEST-----Erros Comuns
- Perder a chave privada apos gerar a CSR (voce precisara regenerar ambas)
- Usar tamanho de chave menor que 2048 bits (maioria das CAs rejeita)
- Nao coincidir o nome do dominio na CSR com seu dominio real
- Incluir prefixo www quando precisa de certificado para dominio raiz (ou vice-versa)
Decodifique e verifique qualquer CSR instantaneamente com o Decodificador de CSR do PureTools. Cole sua CSR para ver todos os campos, tamanho da chave, algoritmo de assinatura e verificar se esta formatada corretamente antes de enviar a uma CA.