如何使用IIS创建CSR代码

要激活SSL证书,首先需要在托管您网站的服务器上创建CSR(Certificate Signing Request——证书签名请求)。CSR是一个加密的文本块,包含您的域名、组织信息以及服务器的公钥。证书提供商使用这些信息为您的域名专门签发SSL证书。本指南将逐步说明如何在Windows Server上使用IIS(Internet Information Services)创建CSR的完整流程。所有IIS版本的操作步骤完全相同。

如何使用IIS创建CSR代码

⚠️ 重要提示:CSR代码必须在托管您网站的服务器上创建。在其他服务器上创建的CSR将在安装证书时导致密钥不匹配错误。

使用IIS创建CSR:快速步骤

  1. 打开IIS管理器
    点击"开始"按钮或搜索栏,输入"IIS"或"inetmgr",然后点击Internet Information Services(IIS)管理器。
  2. 进入Server Certificates
    在左侧面板中点击服务器名称,然后双击"Server Certificates"图标。
  3. 点击Create Certificate Request
    在右侧Actions面板中点击"Create Certificate Request..."。
  4. 填写Distinguished Name信息
    输入域名、公司、城市、省份和国家。不要使用特殊字符。
  5. 设置加密提供程序
    将提供程序保留为默认值,将密钥长度(Bit length)设置为2048或更高,然后点击Next。
  6. 选择保存位置
    点击"..."按钮,选择桌面,然后点击Finish。
  7. 查看CSR代码
    用记事本(Notepad)打开已保存的.txt文件。
  8. 验证CSR代码
    将代码粘贴到CSR解码工具中,验证信息的正确性。

第1步 — 打开IIS管理器

点击Windows"开始"按钮或搜索栏。输入"IIS"或"inetmgr"。在搜索结果中点击Internet Information Services(IIS)管理器。

第2步 — 打开Server Certificates部分

在IIS管理器的左侧面板中点击您的服务器名称。在中央主面板中双击"Server Certificates"图标。

第3步 — 点击Create Certificate Request

在屏幕右侧的Actions面板中点击"Create Certificate Request..."。CSR向导将会打开。

第4步 — 填写Distinguished Name信息

"Distinguished Name Properties"窗口将会打开。请仔细填写每个字段:

字段 示例 说明
Common Name (CN) example.com 完整域名 — Wildcard证书使用*.example.com
Organization (O) 示例有限公司 公司正式注册名称
Org. Unit (OU) IT 部门名称(IT、网络、市场营销等)
City / Locality (L) Beijing 城市全名 — 不要使用缩写
State / Province (S) Beijing 省份或地区的完整名称
Country (C) CN ISO标准两字母国家代码

⚠️ 不要在任何字段中输入特殊字符(重音符号、逗号、撇号)。这些字符可能导致CSR被证书提供商拒绝。

所有字段填写完毕后,点击"Next"。

第5步 — 设置加密提供程序和密钥长度

将"Cryptographic service provider"字段保留为默认值:Microsoft RSA SChannel Cryptographic Provider。不要修改此字段。

"Bit length"字段的默认值可能显示为1024。请将其增加至2048或更高——这是现代证书提供商接受的最低密钥长度。然后点击"Next"。

第6步 — 选择保存位置

点击"..."(浏览)按钮,选择CSR文件的保存位置。建议选择桌面(Desktop)以便于访问。确定路径后,点击"Finish"。

第7步 — 查看CSR代码

进入所选保存位置,用记事本(Notepad)打开.txt文件。您的CSR代码将如下所示:

-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----

ℹ️ 复制代码时,请务必包含-----BEGIN CERTIFICATE REQUEST-----和-----END CERTIFICATE REQUEST-----这两行。不完整复制的CSR在激活时会产生错误。

第8步 — 验证CSR代码

在提交CSR进行SSL激活之前,请验证其正确性。将完整代码粘贴到CSR解码工具中,确认输入的信息正确显示。如果某个字段显示有误,可以在同一台服务器上重新创建CSR——操作过程完全相同。

✅ 您的CSR代码已准备就绪。复制完整代码(包括连字符),并在激活SSL证书时提交。

常见错误

如何使用IIS创建CSR代码

错误 后果 解决方案
字段中输入了特殊字符 CSR被证书提供商拒绝 在所有DN字段中仅使用标准ASCII字符
密钥长度保留为1024 现代CA拒绝低于2048位的密钥 点击Next之前将其增加至2048或4096
在错误的服务器上创建了CSR 安装时私钥不匹配 始终在托管网站的服务器上创建CSR
CSR复制不完整 激活立即失败 复制包含BEGIN和END行的完整代码

验证检查清单

  • CSR文件已保存在可访问的位置
  • 已复制完整的CSR代码(包含BEGIN和END行)
  • 已通过CSR解码工具验证——域名、组织和国家显示正确
  • 密钥长度已设置为2048或更高
  • 任何DN字段中均未使用特殊字符

最佳实践

如何使用IIS创建CSR代码

  • 始终使用2048位或4096位密钥长度——1024位已不再被接受
  • 将CSR文件和私钥保存在安全的位置
  • 在Common Name字段中输入完整域名——不要添加协议或斜杠
  • 对于Wildcard证书,以*.example.com格式输入Common Name
  • 提交激活之前先用解码工具验证CSR——此步骤可避免浪费时间

后续步骤

CSR代码准备就绪后:

  1. 通过Domain Name API进行SSL激活时提交CSR代码。
  2. 证书签发后,使用IIS中的"Complete Certificate Request"选项完成安装。
  3. 通过浏览器中的锁形图标和SSL检查工具验证安装结果。

常见问题解答

什么是CSR代码?

CSR(Certificate Signing Request——证书签名请求)是在您的服务器上生成的加密文本块。它包含您的域名、组织信息以及服务器的公钥。证书提供商使用这些信息为您的域名专门签发SSL证书。

为什么必须在同一台服务器上创建CSR?

创建CSR时会生成两个密钥:公钥(包含在CSR中)和私钥(存储在服务器上)。这两个密钥必须相互匹配。如果在其他服务器上创建CSR,安装证书时将找不到私钥,安装将会失败。

Wildcard SSL证书的Common Name字段如何填写?

对于Wildcard SSL证书,请在Common Name字段中输入*.example.com。这涵盖根域名和所有一级子域名(www、mail、shop等)。

创建CSR后应该做什么?

复制完整的CSR代码(包括连字符),用CSR解码工具验证,然后在SSL激活时提交。证书签发后,按照IIS SSL安装指南完成安装。

什么是CSR解码工具?

CSR解码工具是一种免费工具,可读取加密的CSR代码并以可理解的方式显示其内容。它允许您在证书激活之前验证域名、组织、国家和密钥长度等信息。

如果我的CSR代码有误该怎么办?

按照相同步骤在同一台服务器上重新创建CSR。创建CSR的次数没有限制。使用新创建的CSR代码继续进行激活。

本指南涵盖哪些IIS版本?

本指南中的步骤适用于IIS 5.x、6.x、7.x、8.x、10以及所有后续Windows Server版本。IIS管理器界面在各版本中创建CSR的操作保持一致。

我可以将同一个CSR用于多个SSL证书吗?

不可以。建议为每次SSL证书激活创建新的CSR。重复使用旧证书的CSR可能会导致私钥问题。

总结

在IIS中创建CSR只需几分钟。打开IIS管理器,进入Server Certificates,创建新的证书请求,输入域名信息,将密钥长度设置为2048或更高,保存文件。提交之前用CSR解码工具验证。

最重要的规则:始终在托管您网站的服务器上创建CSR。在其他机器上创建的CSR将在安装证书时导致私钥不匹配。

✅ CSR准备就绪后,用解码工具验证并提交进行SSL激活。

探索SSL证书选项

Domain Name API提供DV、OV、EV和Wildcard SSL证书。无论是单个域名、多个子域名还是企业级基础设施,始终有适合您的选择。

查看SSL经销商解决方案 →