Certificate Signing Request (CSR)

CSR(Certificate Signing Request)は、日本語では「証明書署名要求」と訳され、公開鍵基盤の利用者（申請者）が公開鍵証明書（電子証明書）を申請するために、認証局に対して送るメッセージのことです。

申請者はまず公開鍵と秘密鍵のペアを作成し、秘密鍵を秘匿します。次に公開鍵を含んだ状態でCSRを認証局に送ります。この申請が認められると、認証局は申請者に公開鍵証明書を送り返します。この証明書は認証局の秘密鍵によって電子署名されています。なおCSRには公開鍵の情報の他、組織の正式名称や所在地等の情報で構成される「ディスティングイッシュ ネーム（識別名）」が含まれます。

CSRを受けて電子証明書を発行する認証局には、パブリック認証局とプライベート認証局の2種類があります。

パブリック認証局とは公的に認められた認証局のことであり、ここが発行する電子証明書のルート証明書（証明書の発行元＝認証局の正当性を証明する証明書）は、ブラウザやメールソフトに組み込まれており、その正当性を確認できるようになっています。外部に公開されたWebサーバが使用するSSLサーバ証明書や、外部との情報のやり取りに使用する電子証明書は、パブリック認証局から受ける必要があります。

プライベート認証局は、一般企業等の組織が独自の運用基準を設け、設置する認証局です。この認証局が発行する電子証明書は、公的には正当であると認められません。例えばこれをSSLサーバ証明書に使用してWebサーバを公開した場合、WebブラウザはこのWebサーバの証明書の正当性を確認できないため、セキュリティの問題があると表示します。しかし自社システムにアクセスするユーザにクライアント証明書を配布し、それによってユーザ認証を行う場合には、プライベート認証局でクライアント証明書を発行しても問題はありません。

なおF5が提供する「F5 BIG-IP Access Policy Manager（APM）」には、クライアント証明書による認証機能が装備されており、その配布に必要なプライベート認証局の機能も用意されています。