如何用OpenSSL生成CSR文件？

技术 PRO 作者：石一 2026-05-20 01:46

使用 OpenSSL 生成 CSR（证书签名请求）文件通常分为两个主要步骤：首先生成私钥，然后利用私钥生成 CSR 文件。

以下是详细的操作步骤：

第一步：生成私钥文件 (Private Key)

在命令行终端中执行以下命令，生成一个 2048 位的 RSA 私钥：

openssl genrsa -out server.key 2048

server.key 是你自定义的私钥文件名。

注意：私钥文件非常重要，请务必妥善保管，切勿泄露。

第二步：生成 CSR 文件

使用刚刚生成的私钥来创建 CSR 文件，执行以下命令：

openssl req -new -key server.key -out server.csr -sha256

server.csr 是你自定义的 CSR 输出文件名。

-sha256 指定使用 SHA-256 摘要算法，这是目前行业推荐的安全标准。

第三步：填写证书申请者信息

执行第二步的命令后，终端会提示你输入一系列信息（Distinguished Name），这些信息将包含在你的 CSR 文件中，用于提交给 CA 机构进行审核。请根据实际情况填写：

提示字段	含义说明	填写示例
Country Name	国家代码（两位字母）	CN
State or Province Name	所在省份或州	Sichuan
Locality Name	所在城市	Chengdu
Organization Name	公司或组织的法定名称	YourCompany Ltd.
Organizational Unit Name	所在部门（可选）	IT Dept.
Common Name	申请证书的具体域名（最重要）	www.knowsafe.com
Email Address	联系邮箱（通常可直接回车跳过）	-
A challenge password	挑战密码（通常可直接回车跳过）	-

填写注意事项：

Common Name (CN) 必须填写你要申请 SSL 证书的完整域名（例如 www.knowsafe.com）。如果是泛域名证书，则填写 *.knowsafe.com。

如果你的公司信息包含中文，建议在命令中添加 -utf8 参数，以防止编码错误（例如：openssl req -utf8 -new -key server.key -out server.csr -sha256）。

补充：一步到位生成法（高级用法）

如果你希望跳过交互式输入，直接在命令中指定所有信息，可以使用 -subj 参数一步生成私钥和 CSR：

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/C=CN/ST=Sichuan/L=Chengdu/O=YourCompany/CN=www.knowsafe.com"

完成以上步骤后，你会在当前目录下得到 server.key（私钥）和 server.csr（CSR文件）。接下来，你可以使用文本编辑器打开 .csr 文件，将里面的完整内容（包含 -----BEGIN CERTIFICATE REQUEST----- 和 -----END CERTIFICATE REQUEST-----）复制并提交给 SSL 证书颁发机构即可。