CSR- und selbstsignierter Zertifikatsgenerator

Was ist CSR- und selbstsignierter Zertifikatsgenerator?

Dieses Tool ist ein kostenloser Generator im Browser für einen privaten Schlüssel plus entweder eine Zertifikatssignieranforderung (CSR) oder ein selbstsigniertes Zertifikat. Eine CSR ist die Datei, die du an eine Zertifizierungsstelle (CA) sendest, damit sie zu einem vertrauenswürdigen TLS-Zertifikat signiert wird, während ein selbstsigniertes Zertifikat von dir selbst signiert wird – praktisch für lokale Entwicklung, interne Dienste oder schnelle Tests. Entwickler, DevOps-Ingenieure und Sysadmins greifen darauf zurück, wenn sie ein Zertifikat für eine Domain anfordern, HTTPS auf einem Staging-Server einrichten oder ein Wegwerf-Zertifikat mit dem richtigen Common Name und SANs erstellen müssen. Du wählst den Schlüsselalgorithmus (RSA 2048/3072/4096 oder ECDSA P-256/P-384), gibst den eindeutigen Antragstellernamen (Common Name, Organisation, Land und mehr) sowie alle alternativen DNS-Namen ein, wechselst zwischen CSR- und Selbstsigniert-Modus und klickst auf Generieren. Der private Schlüssel kommt immer als PKCS#8-PEM heraus, daneben entweder eine PKCS#10-CSR oder ein X.509-Zertifikat im PEM-Format, alles lokal erzeugt.

So verwendest du CSR- und selbstsignierter Zertifikatsgenerator

1. Wähle den Schlüsselalgorithmus: RSA (2048, 3072 oder 4096 Bit) oder ECDSA (P-256 oder P-384).
2. Fülle die Subjektfelder aus, mindestens den Common Name (CN), dazu nach Bedarf Organisation, Organisationseinheit, Land, Bundesland und Ort.
3. Gib alternative Antragstellernamen als kommagetrennte Liste von DNS-Namen ein, wenn das Zertifikat mehrere Hostnamen abdecken soll.
4. Wähle mit dem Segmentregler CSR (zum Senden an eine CA) oder Selbstsigniert (sofort einsatzbereit).
5. Klicke auf Generieren und kopiere dann das private Schlüssel-PEM und die resultierende CSR oder das Zertifikat-PEM aus den Ausgabeblöcken.
6. Bewahre den privaten Schlüssel sicher und geheim auf; reiche die CSR bei deiner CA ein oder installiere das selbstsignierte Zertifikat dort, wo du es brauchst.

Beispiele

Algorithmus: RSA 2048, CN: example.com, O: Example Inc, Land: US, Modus: CSR

Ein PKCS#8-PEM für den privaten Schlüssel (-----BEGIN PRIVATE KEY-----) und ein PKCS#10-CSR-PEM (-----BEGIN CERTIFICATE REQUEST-----), bereit zum Hochladen bei deiner Zertifizierungsstelle.

Algorithmus: ECDSA P-256, CN: localhost, SANs: localhost, dev.local, 127.0.0.1, Modus: Selbstsigniert

Ein PEM für den privaten Schlüssel plus ein X.509-Zertifikat-PEM (-----BEGIN CERTIFICATE-----), das alle aufgeführten SAN-Einträge abdeckt und sofort für lokales HTTPS nutzbar ist.

Algorithmus: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Modus: CSR

Ein längeres 4096-Bit-PEM für den privaten Schlüssel und ein passendes CSR-PEM mit dem vollständig codierten eindeutigen Antragstellernamen.

Häufig gestellte Fragen

Wird mein privater Schlüssel irgendwohin gesendet?

Nein. Das Schlüsselpaar wird mit der Web Crypto API erzeugt und mit pkijs vollständig in deinem Browser codiert. Nichts wird auf einen Server hochgeladen oder dort gespeichert, sodass der private Schlüssel die Seite nie verlässt und das Tool nach dem Laden offline funktioniert.

Was ist der Unterschied zwischen einer CSR und einem selbstsignierten Zertifikat?

Eine CSR (Zertifikatssignieranforderung) ist eine Anfrage, die du an eine Zertifizierungsstelle sendest, die sie zu einem vertrauenswürdigen Zertifikat signiert. Ein selbstsigniertes Zertifikat wird mit dem eigenen Schlüssel ohne externe Instanz signiert, weshalb Browser ihm standardmäßig nicht vertrauen, es aber perfekt für lokale Entwicklung und interne Tests ist.

Welche Schlüsselalgorithmen und -größen werden unterstützt?

RSA mit 2048, 3072 oder 4096 Bit sowie ECDSA auf den Kurven P-256 oder P-384. RSA ist am breitesten kompatibel; ECDSA erzeugt kleinere, schnellere Schlüssel, die moderne Systeme unterstützen.

In welchem Format liegen die Ausgaben vor?

Der private Schlüssel ist PKCS#8 in PEM (-----BEGIN PRIVATE KEY-----). Eine CSR ist PKCS#10-PEM (-----BEGIN CERTIFICATE REQUEST-----) und ein selbstsigniertes Zertifikat ist X.509-PEM (-----BEGIN CERTIFICATE-----). Kopiere jeden Block aus seinem Ausgabebereich.

Wie füge ich mehrere Hostnamen hinzu?

Gib sie im Feld für alternative Antragstellernamen als kommagetrennte Liste von DNS-Namen ein, zum Beispiel example.com, www.example.com, api.example.com. Jeder wird zu einem dNSName-SAN-Eintrag in der Anfrage oder im Zertifikat.