CSR ও স্ব-স্বাক্ষরিত সার্টিফিকেট জেনারেটর

CSR ও স্ব-স্বাক্ষরিত সার্টিফিকেট জেনারেটর কী?

এই টুলটি একটি বিনামূল্যের, ব্রাউজার-ভিত্তিক জেনারেটর যা একটি প্রাইভেট কী-এর সঙ্গে হয় একটি সার্টিফিকেট সাইনিং রিকোয়েস্ট (CSR) অথবা একটি স্ব-স্বাক্ষরিত সার্টিফিকেট তৈরি করে। CSR হলো সেই ফাইল যা আপনি কোনো সার্টিফিকেট কর্তৃপক্ষকে (CA) পাঠান যাতে তা স্বাক্ষর করে একটি বিশ্বস্ত TLS সার্টিফিকেটে পরিণত করা যায়, আর স্ব-স্বাক্ষরিত সার্টিফিকেট আপনি নিজেই স্বাক্ষর করেন, যা লোকাল ডেভেলপমেন্ট, অভ্যন্তরীণ পরিষেবা বা দ্রুত পরীক্ষার জন্য কার্যকর। ডেভেলপার, DevOps ইঞ্জিনিয়ার ও সিস্টেম অ্যাডমিনরা এটি ব্যবহার করেন যখন তাঁদের কোনো ডোমেনের জন্য সার্টিফিকেট অনুরোধ করতে হয়, স্টেজিং সার্ভারে HTTPS চালু করতে হয়, কিংবা সঠিক Common Name ও SAN সহ একটি অস্থায়ী সার্টিফিকেট তৈরি করতে হয়। আপনি কী অ্যালগরিদম (RSA 2048/3072/4096 বা ECDSA P-256/P-384) বাছাই করেন, সাবজেক্ট ডিস্টিংগুইশড নাম (Common Name, প্রতিষ্ঠান, দেশ ইত্যাদি) ও যেকোনো DNS সাবজেক্ট অল্টারনেটিভ নাম দেন, CSR ও স্ব-স্বাক্ষরিত মোডের মধ্যে পাল্টান, তারপর জেনারেট ক্লিক করেন। প্রাইভেট কী সর্বদা PKCS#8 PEM-এ বেরোয়, পাশে হয় একটি PKCS#10 CSR অথবা PEM-এ একটি X.509 সার্টিফিকেট, এবং সবকিছু স্থানীয়ভাবে তৈরি হয়।

CSR ও স্ব-স্বাক্ষরিত সার্টিফিকেট জেনারেটর কীভাবে ব্যবহার করবেন

1. কী অ্যালগরিদম বেছে নিন: RSA (2048, 3072, বা 4096 বিট) বা ECDSA (P-256 বা P-384)।
2. সাবজেক্ট ফিল্ডগুলো পূরণ করুন, অন্তত Common Name (CN), এবং প্রয়োজন অনুযায়ী প্রতিষ্ঠান, প্রাতিষ্ঠানিক ইউনিট, দেশ, রাজ্য ও শহর।
3. সার্টিফিকেটকে একাধিক হোস্টনাম কভার করতে হলে সাবজেক্ট অল্টারনেটিভ নামগুলো কমা দিয়ে আলাদা করা DNS নামের তালিকা হিসেবে দিন।
4. সেগমেন্টেড কন্ট্রোল দিয়ে CSR (কোনো CA-তে পাঠানোর জন্য) বা স্ব-স্বাক্ষরিত (সঙ্গে সঙ্গে ব্যবহারযোগ্য) বেছে নিন।
5. জেনারেট ক্লিক করুন, তারপর আউটপুট ব্লক থেকে প্রাইভেট কী-এর PEM এবং ফলস্বরূপ CSR বা সার্টিফিকেটের PEM কপি করুন।
6. প্রাইভেট কী নিরাপদ জায়গায় রাখুন ও গোপন রাখুন; CSR আপনার CA-তে জমা দিন, অথবা স্ব-স্বাক্ষরিত সার্টিফিকেট যেখানে দরকার সেখানে ইনস্টল করুন।

উদাহরণ

Algorithm: RSA 2048, CN: example.com, O: Example Inc, Country: US, Mode: CSR

একটি PKCS#8 প্রাইভেট কী PEM (-----BEGIN PRIVATE KEY-----) এবং একটি PKCS#10 CSR PEM (-----BEGIN CERTIFICATE REQUEST-----), যা আপনার সার্টিফিকেট কর্তৃপক্ষে আপলোড করার জন্য প্রস্তুত।

Algorithm: ECDSA P-256, CN: localhost, SANs: localhost, dev.local, 127.0.0.1, Mode: Self-signed

একটি প্রাইভেট কী PEM এবং তালিকাভুক্ত সব SAN এন্ট্রি কভার করা একটি X.509 সার্টিফিকেট PEM (-----BEGIN CERTIFICATE-----), যা লোকাল HTTPS-এর জন্য সঙ্গে সঙ্গে ব্যবহারযোগ্য।

Algorithm: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Mode: CSR

একটি দীর্ঘতর 4096-বিট প্রাইভেট কী PEM এবং সম্পূর্ণ সাবজেক্ট ডিস্টিংগুইশড নাম এনকোড করা একটি মিলিয়ে নেওয়া CSR PEM।

সচরাচর জিজ্ঞাসিত প্রশ্ন

আমার প্রাইভেট কী কি কোথাও পাঠানো হয়?

না। কী জোড়া Web Crypto API দিয়ে তৈরি হয় এবং pkijs দিয়ে সম্পূর্ণভাবে আপনার ব্রাউজারেই এনকোড করা হয়। কোনো কিছুই কোনো সার্ভারে আপলোড বা সংরক্ষণ করা হয় না, তাই প্রাইভেট কী কখনও পেজ ছাড়ে না এবং একবার লোড হলে টুলটি অফলাইনেও কাজ করে।

CSR ও স্ব-স্বাক্ষরিত সার্টিফিকেটের মধ্যে পার্থক্য কী?

CSR (সার্টিফিকেট সাইনিং রিকোয়েস্ট) হলো একটি অনুরোধ যা আপনি কোনো সার্টিফিকেট কর্তৃপক্ষকে পাঠান, যারা এটি স্বাক্ষর করে একটি বিশ্বস্ত সার্টিফিকেটে পরিণত করে। স্ব-স্বাক্ষরিত সার্টিফিকেট কোনো বাইরের কর্তৃপক্ষ ছাড়াই নিজের কী দিয়ে স্বাক্ষরিত হয়, তাই ব্রাউজার ডিফল্টভাবে এতে আস্থা রাখে না, তবে এটি লোকাল ডেভেলপমেন্ট ও অভ্যন্তরীণ পরীক্ষার জন্য আদর্শ।

কোন কী অ্যালগরিদম ও আকার সমর্থিত?

RSA 2048, 3072, বা 4096 বিটে, এবং ECDSA P-256 বা P-384 কার্ভে। RSA সবচেয়ে ব্যাপকভাবে সামঞ্জস্যপূর্ণ; ECDSA ছোট, দ্রুততর কী তৈরি করে যা আধুনিক সিস্টেম সমর্থন করে।

আউটপুটগুলো কোন ফরম্যাটে থাকে?

প্রাইভেট কী PEM-এ PKCS#8 (-----BEGIN PRIVATE KEY-----)। CSR হলো PKCS#10 PEM (-----BEGIN CERTIFICATE REQUEST-----) এবং স্ব-স্বাক্ষরিত সার্টিফিকেট হলো X.509 PEM (-----BEGIN CERTIFICATE-----)। প্রতিটি ব্লক তার আউটপুট অংশ থেকে কপি করুন।

একাধিক হোস্টনাম কীভাবে যোগ করব?

এগুলো সাবজেক্ট অল্টারনেটিভ নাম ফিল্ডে কমা দিয়ে আলাদা করা DNS নামের তালিকা হিসেবে দিন, যেমন example.com, www.example.com, api.example.com। প্রতিটি অনুরোধ বা সার্টিফিকেটে একটি dNSName SAN এন্ট্রিতে পরিণত হয়।