生成一个 CSR

说明

openssl_csr_new(
    array $distinguished_names,
    #[\SensitiveParameter] OpenSSLAsymmetricKey &$private_key,
    ?array $options = null,
    ?array $extra_attributes = null
): OpenSSLCertificateSigningRequest|false

openssl_csr_new() 根据 distinguished_names 提供的信息生成新的 CSR（证书签名请求）。

注意: 必须安装有效的 openssl.cnf 以保证此函数正确运行。参考有关安装的说明以获得更多信息。

参数

distinguished_names

在证书中使用的专有名称或主题字段。

private_key

private_key 应该被设置为由 openssl_pkey_new() 函数预先生成(或者以其他方式从 openssl_pkey 函数集中获得)的私钥。该密钥的相应公共部分将用于签署 CSR。

options

默认通过系统里的 openssl.conf 配置来初始化请求；可以通过设置 options 的 config_section_section 项来指定配置文件部分。还可以通过将 config 键的值设置为想要使用的文件路径来指定另一个 openssl 配置文件。如果在 options 中存在下列键，它们的行为就像在 openssl.conf 中一样。如下表所示：

**配置覆盖**
`options` 键	类型	等同于 `openssl.conf`	描述
digest_alg	string	default_md	摘要算法或签名哈希算法，通常是 openssl_get_md_methods() 之一。
x509_extensions	string	x509_extensions	选择在创建 x509 证书时应该使用哪些扩展
req_extensions	string	req_extensions	创建 CSR 时，选择使用哪个扩展
private_key_bits	int	default_bits	指定应该使用多少位来生成私钥
private_key_type	int	none	选择在创建 CSR 时应该使用哪些扩展。可选值有 `OPENSSL_KEYTYPE_DSA`、 `OPENSSL_KEYTYPE_DH`、 `OPENSSL_KEYTYPE_RSA` 或 `OPENSSL_KEYTYPE_EC`。默认值是 `OPENSSL_KEYTYPE_RSA`。
encrypt_key	bool	encrypt_key	是否应该对导出的密钥（带有密码短语）进行加密?
encrypt_key_cipher	int	none	cipher constants 常量之一。
curve_name	string	none	openssl_get_curve_names() 之一。
config	string	N/A	自定义 openssl.conf 文件的路径。

extra_attributes

extra_attributes 用于为 CSR 指定额外的配置选项。distinguished_names 和 extra_attributes 都是关联数组它们的键被转换成 OID，并应用到请求的相关部分。

返回值

成功，返回 CSR 或者在失败时返回 false。

更新日志

版本	说明
8.0.0	成功时，此函数现在返回 OpenSSLCertificateSigningRequest 实例；之前返回类型 `OpenSSL X.509 CSR` 的 resource。
8.0.0	`private_key` 现在接受 OpenSSLAsymmetricKey 实例；之前接受类型 `OpenSSL key` 的 resource。
7.1.0	`options` 现在也支持 `curve_name`。

示例

示例 #1 创建一个自签名的证书

<?php
// for SSL server certificates the commonName is the domain name to be secured
// for S/MIME email certificates the commonName is the owner of the email address
// location and identification fields refer to the owner of domain or email subject to be secured
$dn = array(
    "countryName" => "GB",
    "stateOrProvinceName" => "Somerset",
    "localityName" => "Glastonbury",
    "organizationName" => "The Brain Room Limited",
    "organizationalUnitName" => "PHP Documentation Team",
    "commonName" => "Wez Furlong",
    "emailAddress" => "wez@example.com"
);

// Generate a new private (and public) key pair
$privkey = openssl_pkey_new(array(
    "private_key_bits" => 2048,
    "private_key_type" => OPENSSL_KEYTYPE_RSA,
));

// Generate a certificate signing request
$csr = openssl_csr_new($dn, $privkey, array('digest_alg' => 'sha256'));

// Generate a self-signed cert, valid for 365 days
$x509 = openssl_csr_sign($csr, null, $privkey, $days=365, array('digest_alg' => 'sha256'));

// Save your private key, CSR and self-signed cert for later use
openssl_csr_export($csr, $csrout) and var_dump($csrout);
openssl_x509_export($x509, $certout) and var_dump($certout);
openssl_pkey_export($privkey, $pkeyout, "mypassword") and var_dump($pkeyout);

// Show any errors that occurred here
while (($e = openssl_error_string()) !== false) {
    echo $e . "\n";
}
?>

示例 #2 创建一个自签名的 ECC 证书（从 PHP 7.1.0 开始）

<?php
$subject = array(
    "commonName" => "docs.php.net",
);

// Generate a new private (and public) key pair
$private_key = openssl_pkey_new(array(
    "private_key_type" => OPENSSL_KEYTYPE_EC,
    "curve_name" => 'prime256v1',
));

// Generate a certificate signing request
$csr = openssl_csr_new($subject, $private_key, array('digest_alg' => 'sha384'));

// Generate self-signed EC cert
$x509 = openssl_csr_sign($csr, null, $private_key, $days=365, array('digest_alg' => 'sha384'));
openssl_x509_export_to_file($x509, 'ecc-cert.pem');
openssl_pkey_export_to_file($private_key, 'ecc-private.key');
?>

参见

openssl_csr_sign() - 用另一个证书签署 CSR（或者本身）并且生成一个证书