CSR (証明書署名要求) は、公開鍵インフラストラクチャの申請者 (または加入者) が認証局 (CA) に送信し、公開鍵証明書 (デジタル証明書) の発行を要求するメッセージです。
このような証明書を取得するには、申請者はまず公開鍵と秘密鍵で構成される鍵ペアを生成し、秘密鍵を安全に保管しながら、公開鍵を CA に提出する CSR に含めます。 認証局がリクエストを確認して承認すると、CA 独自の秘密キーでデジタル署名されたデジタル証明書を申請者に発行します。 CSR には、公開キー情報の他に、組織の正式な名前や住所などの構造化された詳細を含む「識別名 (DN)」も含まれます。
CSR に応じて証明書を発行する認証局は、パブリックとプライベートの 2 種類に大別できます。
公的証明機関は、ルート証明書(CA の信頼性を検証する証明書)が Web ブラウザー、電子メール クライアント、またはその他のapplications内にプリインストールされている公認の機関であり、発行された証明書の自動検証が可能です。 Web サーバーの SSL 証明書や安全な外部通信で使用される証明書など、パブリックにアクセス可能なサーバーの証明書は、通常、パブリック証明機関から取得する必要があります。
一方、プライベート認証局は、内部運用ポリシーに基づいて個々の組織または企業内で運用されます。 プライベート CA によって発行された証明書は、ブラウザや外部システムによって信頼できるものとして公的に認められません。 たとえば、プライベート CA から発行された SSL 証明書を使用して公開された Web サイトでは、証明書が公開されていないことを示すブラウザのセキュリティ警告が表示されます。 ただし、プライベート CA が発行したクライアント証明書は、実際上の問題なく、社内の企業システム内での認証目的で効果的に導入できます。
さらに、F5 は、クライアント証明書の管理と展開を簡素化する組み込みのプライベート CA 機能など、BIG-IP アクセス ポリシー マネージャ (APM) 内でクライアント証明書認証機能を提供します。