如何使用IIS创建CSR代码
要激活SSL证书,首先需要在托管您网站的服务器上创建CSR(Certificate Signing Request——证书签名请求)。CSR是一个加密的文本块,包含您的域名、组织信息以及服务器的公钥。证书提供商使用这些信息为您的域名专门签发SSL证书。本指南将逐步说明如何在Windows Server上使用IIS(Internet Information Services)创建CSR的完整流程。所有IIS版本的操作步骤完全相同。

⚠️ 重要提示:CSR代码必须在托管您网站的服务器上创建。在其他服务器上创建的CSR将在安装证书时导致密钥不匹配错误。
使用IIS创建CSR:快速步骤
- 打开IIS管理器
点击"开始"按钮或搜索栏,输入"IIS"或"inetmgr",然后点击Internet Information Services(IIS)管理器。 - 进入Server Certificates
在左侧面板中点击服务器名称,然后双击"Server Certificates"图标。 - 点击Create Certificate Request
在右侧Actions面板中点击"Create Certificate Request..."。 - 填写Distinguished Name信息
输入域名、公司、城市、省份和国家。不要使用特殊字符。 - 设置加密提供程序
将提供程序保留为默认值,将密钥长度(Bit length)设置为2048或更高,然后点击Next。 - 选择保存位置
点击"..."按钮,选择桌面,然后点击Finish。 - 查看CSR代码
用记事本(Notepad)打开已保存的.txt文件。 - 验证CSR代码
将代码粘贴到CSR解码工具中,验证信息的正确性。
第1步 — 打开IIS管理器
点击Windows"开始"按钮或搜索栏。输入"IIS"或"inetmgr"。在搜索结果中点击Internet Information Services(IIS)管理器。
第2步 — 打开Server Certificates部分
在IIS管理器的左侧面板中点击您的服务器名称。在中央主面板中双击"Server Certificates"图标。
第3步 — 点击Create Certificate Request
在屏幕右侧的Actions面板中点击"Create Certificate Request..."。CSR向导将会打开。
第4步 — 填写Distinguished Name信息
"Distinguished Name Properties"窗口将会打开。请仔细填写每个字段:
| 字段 | 示例 | 说明 |
|---|---|---|
| Common Name (CN) | example.com | 完整域名 — Wildcard证书使用*.example.com |
| Organization (O) | 示例有限公司 | 公司正式注册名称 |
| Org. Unit (OU) | IT | 部门名称(IT、网络、市场营销等) |
| City / Locality (L) | Beijing | 城市全名 — 不要使用缩写 |
| State / Province (S) | Beijing | 省份或地区的完整名称 |
| Country (C) | CN | ISO标准两字母国家代码 |
⚠️ 不要在任何字段中输入特殊字符(重音符号、逗号、撇号)。这些字符可能导致CSR被证书提供商拒绝。
所有字段填写完毕后,点击"Next"。
第5步 — 设置加密提供程序和密钥长度
将"Cryptographic service provider"字段保留为默认值:Microsoft RSA SChannel Cryptographic Provider。不要修改此字段。
"Bit length"字段的默认值可能显示为1024。请将其增加至2048或更高——这是现代证书提供商接受的最低密钥长度。然后点击"Next"。
第6步 — 选择保存位置
点击"..."(浏览)按钮,选择CSR文件的保存位置。建议选择桌面(Desktop)以便于访问。确定路径后,点击"Finish"。
第7步 — 查看CSR代码
进入所选保存位置,用记事本(Notepad)打开.txt文件。您的CSR代码将如下所示:
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----
ℹ️ 复制代码时,请务必包含-----BEGIN CERTIFICATE REQUEST-----和-----END CERTIFICATE REQUEST-----这两行。不完整复制的CSR在激活时会产生错误。
第8步 — 验证CSR代码
在提交CSR进行SSL激活之前,请验证其正确性。将完整代码粘贴到CSR解码工具中,确认输入的信息正确显示。如果某个字段显示有误,可以在同一台服务器上重新创建CSR——操作过程完全相同。
✅ 您的CSR代码已准备就绪。复制完整代码(包括连字符),并在激活SSL证书时提交。
常见错误

| 错误 | 后果 | 解决方案 |
|---|---|---|
| 字段中输入了特殊字符 | CSR被证书提供商拒绝 | 在所有DN字段中仅使用标准ASCII字符 |
| 密钥长度保留为1024 | 现代CA拒绝低于2048位的密钥 | 点击Next之前将其增加至2048或4096 |
| 在错误的服务器上创建了CSR | 安装时私钥不匹配 | 始终在托管网站的服务器上创建CSR |
| CSR复制不完整 | 激活立即失败 | 复制包含BEGIN和END行的完整代码 |
验证检查清单
- CSR文件已保存在可访问的位置
- 已复制完整的CSR代码(包含BEGIN和END行)
- 已通过CSR解码工具验证——域名、组织和国家显示正确
- 密钥长度已设置为2048或更高
- 任何DN字段中均未使用特殊字符
最佳实践

- 始终使用2048位或4096位密钥长度——1024位已不再被接受
- 将CSR文件和私钥保存在安全的位置
- 在Common Name字段中输入完整域名——不要添加协议或斜杠
- 对于Wildcard证书,以*.example.com格式输入Common Name
- 提交激活之前先用解码工具验证CSR——此步骤可避免浪费时间
后续步骤
CSR代码准备就绪后:
- 通过Domain Name API进行SSL激活时提交CSR代码。
- 证书签发后,使用IIS中的"Complete Certificate Request"选项完成安装。
- 通过浏览器中的锁形图标和SSL检查工具验证安装结果。
常见问题解答
什么是CSR代码?
CSR(Certificate Signing Request——证书签名请求)是在您的服务器上生成的加密文本块。它包含您的域名、组织信息以及服务器的公钥。证书提供商使用这些信息为您的域名专门签发SSL证书。
为什么必须在同一台服务器上创建CSR?
创建CSR时会生成两个密钥:公钥(包含在CSR中)和私钥(存储在服务器上)。这两个密钥必须相互匹配。如果在其他服务器上创建CSR,安装证书时将找不到私钥,安装将会失败。
Wildcard SSL证书的Common Name字段如何填写?
对于Wildcard SSL证书,请在Common Name字段中输入*.example.com。这涵盖根域名和所有一级子域名(www、mail、shop等)。
创建CSR后应该做什么?
复制完整的CSR代码(包括连字符),用CSR解码工具验证,然后在SSL激活时提交。证书签发后,按照IIS SSL安装指南完成安装。
什么是CSR解码工具?
CSR解码工具是一种免费工具,可读取加密的CSR代码并以可理解的方式显示其内容。它允许您在证书激活之前验证域名、组织、国家和密钥长度等信息。
如果我的CSR代码有误该怎么办?
按照相同步骤在同一台服务器上重新创建CSR。创建CSR的次数没有限制。使用新创建的CSR代码继续进行激活。
本指南涵盖哪些IIS版本?
本指南中的步骤适用于IIS 5.x、6.x、7.x、8.x、10以及所有后续Windows Server版本。IIS管理器界面在各版本中创建CSR的操作保持一致。
我可以将同一个CSR用于多个SSL证书吗?
不可以。建议为每次SSL证书激活创建新的CSR。重复使用旧证书的CSR可能会导致私钥问题。
总结
在IIS中创建CSR只需几分钟。打开IIS管理器,进入Server Certificates,创建新的证书请求,输入域名信息,将密钥长度设置为2048或更高,保存文件。提交之前用CSR解码工具验证。
最重要的规则:始终在托管您网站的服务器上创建CSR。在其他机器上创建的CSR将在安装证书时导致私钥不匹配。
✅ CSR准备就绪后,用解码工具验证并提交进行SSL激活。
