Una CSR (Solicitud de Firma de Certificado) es un mensaje enviado por un solicitante (o suscriptor) en una infraestructura de clave pública a una Autoridad de Certificación (CA), solicitando la emisión de un certificado de clave pública (certificado digital).
Para obtener dichos certificados, el solicitante primero genera un par de claves, compuesto por una clave pública y una clave privada, almacenando de forma segura la clave privada mientras incluye la clave pública en el CSR enviado a la CA. Una vez que la Autoridad de Certificación verifica y aprueba la solicitud, emite un certificado digital para el solicitante, firmado digitalmente con la clave privada de la CA. Además de la información de clave pública, el CSR también incluye un “Nombre distinguido (DN)” que contiene detalles estructurados como el nombre formal y la dirección de la organización.
Las autoridades de certificación que emiten certificados en respuesta a las CSR se pueden clasificar en dos tipos: públicas y privadas.
Las Autoridades de Certificación Pública son entidades oficiales reconocidas cuyos certificados raíz (certificados que verifican la autenticidad de la CA) están preinstalados en navegadores web, clientes de correo electrónico u otras aplicações, lo que permite la validación automática de los certificados emitidos. Los certificados para servidores de acceso público, como los certificados SSL para servidores web o los certificados utilizados en comunicaciones externas seguras, generalmente deben obtenerse de una autoridad de certificación pública.
Las autoridades de certificación privadas, por el contrario, operan dentro de organizaciones o empresas individuales en función de sus políticas operativas internas. Los certificados emitidos por CA privadas no son reconocidos públicamente como confiables por los navegadores o sistemas externos. Por ejemplo, un sitio web hecho público utilizando un certificado SSL emitido por una CA privada activa una advertencia de seguridad del navegador que indica la falta de validación pública de dicho certificado. Sin embargo, los certificados de cliente emitidos por CA privadas se pueden implementar de manera efectiva para fines de autenticación dentro de sistemas empresariales internos sin ningún problema práctico.
Además, F5 proporciona una funcionalidad de autenticación de certificados de cliente dentro de su Administrador de políticas de acceso BIG-IP (APM), incluida una funcionalidad de CA privada incorporada para simplificar la administración y la implementación de certificados de cliente.