Une CSR (Certificate Signing Request) est un message envoyé par un demandeur (ou abonné) dans une infrastructure à clé publique à une autorité de certification (CA), demandant l'émission d'un certificat de clé publique (certificat numérique).
Pour obtenir de tels certificats, le demandeur génère d'abord une paire de clés, composée d'une clé publique et d'une clé privée, stockant en toute sécurité la clé privée tout en incluant la clé publique dans le CSR soumis à l'AC. Une fois que l'autorité de certification a vérifié et approuvé la demande, elle émet un certificat numérique pour le demandeur, signé numériquement avec la clé privée de l'autorité de certification. Outre les informations de clé publique, le CSR comprend également un « nom distinctif (DN) » contenant des détails structurés tels que le nom et l'adresse officiels de l'organisation.
Les autorités de certification délivrant des certificats en réponse aux CSR peuvent être classées en deux grandes catégories : publiques et privées.
Les autorités de certification publiques sont des entités officielles reconnues dont les certificats racines (certificats vérifiant l'authenticité de l'AC) sont préinstallés dans les navigateurs Web, les clients de messagerie ou d'autres applications, permettant la validation automatique des certificats émis. Les certificats pour les serveurs accessibles au public, tels que les certificats SSL pour les serveurs Web ou les certificats utilisés dans les communications externes sécurisées, doivent généralement être obtenus auprès d'une autorité de certification publique.
Les autorités de certification privées, en revanche, sont gérées au sein d’organisations ou d’entreprises individuelles en fonction de leurs politiques opérationnelles internes. Les certificats émis par des autorités de certification privées ne sont pas reconnus publiquement comme dignes de confiance par les navigateurs ou les systèmes externes. Par exemple, un site Web rendu public à l'aide d'un certificat SSL émis par une autorité de certification privée déclenche un avertissement de sécurité du navigateur indiquant l'absence de validation publique de ce certificat. Cependant, les certificats clients émis par une autorité de certification privée peuvent être déployés efficacement à des fins d'authentification au sein des systèmes d'entreprise internes sans aucun problème pratique.
De plus, F5 fournit une fonctionnalité d'authentification de certificat client dans son gestionnaire de politiques d'accès BIG-IP (APM), y compris une fonctionnalité d'autorité de certification privée intégrée pour simplifier la gestion et le déploiement des certificats clients.