En los sistemas de infraestructura de clave pública (PKI), una solicitud de firma de certificado (también CSR o solicitud de certificación ) es un mensaje enviado por un solicitante a una autoridad de registro de la infraestructura de clave pública para solicitar un certificado de identidad digital . Por lo general, contiene la clave pública para la cual se debe emitir el certificado, información de identificación (como un nombre de dominio) y protección de la integridad (por ejemplo, una firma digital). El formato más común para los CSR es la especificación PKCS # 10; otro es el formato SPKAC de clave pública firmada y desafío generado por algunos navegadores web.
Antes de crear una CSR, el solicitante primero genera un par de claves , manteniendo la clave privada en secreto. El CSR contiene información que identifica al solicitante (como un nombre distinguido en el caso de un certificado X.509 ) que debe firmarse con la clave privada del solicitante . El CSR también contiene la clave pública elegida por el solicitante. El CSR puede ir acompañado de otras credenciales o pruebas de identidad requeridas por la autoridad de certificación, y la autoridad de certificación puede comunicarse con el solicitante para obtener más información.
Información típica requerida en un CSR (columna de muestra del certificado X.509 de muestra ). Tenga en cuenta que a menudo hay alternativas para los nombres distinguidos (DN), el valor preferido se enumera.
Si la solicitud tiene éxito, la autoridad certificadora enviará un certificado de identidad que ha sido firmado digitalmente utilizando la clave privada de la autoridad certificadora.
Una solicitud de certificación consta de tres partes principales: la información de la solicitud de certificación, un identificador del algoritmo de firma y una firma digital en la información de la solicitud de certificación. La primera parte contiene la información significativa, incluida la clave pública. La firma del solicitante evita que una entidad solicite un certificado falso de la clave pública de otra persona. [2] Por lo tanto, la clave privada es necesaria para producir, pero no es parte de, el CSR. [3]
El CSR para certificados de identificación personal y certificados de firma debe tener la dirección de correo electrónico del titular de la identificación o el nombre de la organización en el caso de la identificación comercial.