مولّد طلب توقيع الشهادة (CSR) والشهادات الموقّعة ذاتيًا

ما هي مولّد طلب توقيع الشهادة (CSR) والشهادات الموقّعة ذاتيًا؟

هذه الأداة مولّد مجاني داخل المتصفح ينشئ مفتاحًا خاصًا مع إما طلب توقيع شهادة (CSR) أو شهادة موقّعة ذاتيًا. طلب CSR هو الملف الذي ترسله إلى جهة إصدار الشهادات (CA) لتوقيعه وتحويله إلى شهادة TLS موثوقة، بينما الشهادة الموقّعة ذاتيًا هي شهادة توقّعها بنفسك، مفيدة للتطوير المحلي أو الخدمات الداخلية أو الاختبار السريع. يلجأ إليها المطورون ومهندسو DevOps ومسؤولو الأنظمة عندما يحتاجون إلى طلب شهادة لنطاق ما، أو تفعيل HTTPS على خادم اختباري، أو إنشاء شهادة مؤقتة بالاسم الشائع (Common Name) وأسماء SAN الصحيحة. تختار خوارزمية المفتاح (RSA 2048/3072/4096 أو ECDSA P-256/P-384)، وتُدخل الاسم المميّز للموضوع (الاسم الشائع، المنظمة، الدولة، وغيرها) وأي أسماء بديلة من نوع DNS، وتبدّل بين وضع CSR والوضع الموقّع ذاتيًا، ثم تنقر فوق إنشاء. يخرج المفتاح الخاص دائمًا بصيغة PKCS#8 PEM، إلى جانب طلب CSR بصيغة PKCS#10 أو شهادة X.509 بصيغة PEM، وكل ذلك يُنتَج محليًا.

كيفية استخدام مولّد طلب توقيع الشهادة (CSR) والشهادات الموقّعة ذاتيًا

1. اختر خوارزمية المفتاح: RSA (2048 أو 3072 أو 4096 بت) أو ECDSA (P-256 أو P-384).
2. املأ حقول الموضوع، وعلى الأقل الاسم الشائع (CN)، بالإضافة إلى المنظمة والوحدة التنظيمية والدولة والولاية والمدينة حسب الحاجة.
3. أدخل الأسماء البديلة للموضوع كقائمة بأسماء DNS مفصولة بفواصل إذا كان على الشهادة أن تغطي عدة أسماء مضيفين.
4. استخدم عنصر التحكم المجزّأ لاختيار CSR (لإرساله إلى جهة إصدار شهادات) أو موقّع ذاتيًا (جاهز للاستخدام فورًا).
5. انقر فوق إنشاء، ثم انسخ PEM المفتاح الخاص وPEM طلب CSR أو الشهادة الناتجة من كتل الإخراج.
6. احفظ المفتاح الخاص في مكان آمن وأبقه سريًا؛ قدّم طلب CSR إلى جهة إصدار الشهادات، أو ثبّت الشهادة الموقّعة ذاتيًا حيث تحتاجها.

أمثلة

Algorithm: RSA 2048, CN: example.com, O: Example Inc, Country: US, Mode: CSR

مفتاح خاص بصيغة PKCS#8 PEM (-----BEGIN PRIVATE KEY-----) وطلب CSR بصيغة PKCS#10 PEM (-----BEGIN CERTIFICATE REQUEST-----) جاهز للرفع إلى جهة إصدار الشهادات.

Algorithm: ECDSA P-256, CN: localhost, SANs: localhost, dev.local, 127.0.0.1, Mode: Self-signed

مفتاح خاص بصيغة PEM إضافة إلى شهادة X.509 بصيغة PEM (-----BEGIN CERTIFICATE-----) تغطي جميع مدخلات SAN المدرجة، وقابلة للاستخدام فورًا لـ HTTPS المحلي.

Algorithm: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Mode: CSR

مفتاح خاص أطول بحجم 4096 بت بصيغة PEM وطلب CSR مطابق بصيغة PEM مع ترميز الاسم المميّز الكامل للموضوع.

الأسئلة الشائعة

هل يُرسَل مفتاحي الخاص إلى أي مكان؟

لا. يُنشأ زوج المفاتيح باستخدام Web Crypto API ويُرمَّز باستخدام pkijs بالكامل داخل متصفحك. لا يُرفع أي شيء إلى أي خادم أو يُخزَّن عليه، لذلك لا يغادر المفتاح الخاص الصفحة أبدًا، وتعمل الأداة دون اتصال بمجرد تحميلها.

ما الفرق بين طلب CSR والشهادة الموقّعة ذاتيًا؟

طلب CSR (طلب توقيع الشهادة) هو طلب ترسله إلى جهة إصدار شهادات تقوم بتوقيعه وتحويله إلى شهادة موثوقة. أما الشهادة الموقّعة ذاتيًا فيوقّعها مفتاحها الخاص دون جهة خارجية، لذلك لا تثق بها المتصفحات افتراضيًا، لكنها مثالية للتطوير المحلي والاختبار الداخلي.

ما خوارزميات المفاتيح وأحجامها المدعومة؟

RSA بأحجام 2048 أو 3072 أو 4096 بت، وECDSA على المنحنيين P-256 أو P-384. RSA هي الأوسع توافقًا؛ بينما تنتج ECDSA مفاتيح أصغر وأسرع تدعمها الأنظمة الحديثة.

ما صيغة المخرجات؟

المفتاح الخاص بصيغة PKCS#8 في PEM (-----BEGIN PRIVATE KEY-----). طلب CSR بصيغة PKCS#10 PEM (-----BEGIN CERTIFICATE REQUEST-----)، والشهادة الموقّعة ذاتيًا بصيغة X.509 PEM (-----BEGIN CERTIFICATE-----). انسخ كل كتلة من منطقة إخراجها.

كيف أضيف عدة أسماء مضيفين؟

أدخلها في حقل الأسماء البديلة للموضوع كقائمة بأسماء DNS مفصولة بفواصل، على سبيل المثال example.com, www.example.com, api.example.com. يصبح كل منها مدخل SAN من نوع dNSName في الطلب أو الشهادة.