La CSR e la chiave pubblica sono esattamente la stessa cosa?

No, non sono la stessa cosa. Una chiave pubblica è in realtà un membro di una "coppia di chiavi", costituita sia da una chiave pubblica che dalla chiave privata corrispondente. Il CSR è una richiesta di firma del certificato, che è solo un modulo che compilare.

Quando si crea una CSR, si allega la propria chiave pubblica e si inseriscono altri dati necessari; quindi lo si invia a un'autorità di certificazione (CA). L'AC preleva i dati dal modulo e, se si superano tutti i test di convalida (ad esempio l'addebito sulla carta di credito), utilizzano i dati del CSR per creare un certificato e quindi firmano il nuovo certificato con la "radice" certificato. Ciò garantisce al resto del mondo che la chiave pubblica trovata nel certificato è effettivamente associata a te.

Normalmente, nessuno tranne la CA ha bisogno di un CSR.

Nel tuo caso, sembra che tu sia bloccato nel mezzo del processo di qualcun altro che non è stato descritto adeguatamente. Se questa "generazione di chiavi di backup HPKP" (qualunque cosa sia) sta creando una coppia di chiavi pubblica / privata, potrebbe richiedere una CSR "vuota" da utilizzare come modello per richiedere un nuovo certificato ogni volta che genera una nuova chiave di backup . (In realtà, probabilmente hanno solo bisogno dei campi dati che vuoi sui certificati.) Ma il CSR è sempre incompleto perché le chiavi pubbliche non sono ancora state generate.

Probabilmente hai bisogno di sederti con le persone certificate e le persone HPKP, e capire chi ha realmente bisogno di cosa.