Generador de CSR y certificados autofirmados

¿Qué es Generador de CSR y certificados autofirmados?

Esta herramienta es un generador gratuito, en el navegador, de una clave privada más una solicitud de firma de certificado (CSR) o un certificado autofirmado. Una CSR es el archivo que envías a una autoridad certificadora (CA) para que lo firme y se convierta en un certificado TLS de confianza, mientras que un certificado autofirmado lo firmas tú mismo, ideal para desarrollo local, servicios internos o pruebas rápidas. Desarrolladores, ingenieros de DevOps y administradores de sistemas la usan cuando necesitan solicitar un certificado para un dominio, levantar HTTPS en un entorno de pruebas o crear un certificado desechable con el Common Name y los SAN correctos. Eliges el algoritmo de clave (RSA 2048/3072/4096 o ECDSA P-256/P-384), introduces el nombre distinguido del sujeto (Common Name, Organización, País y más) y los nombres alternativos DNS, alternas entre el modo CSR y autofirmado, y pulsas Generar. La clave privada siempre sale en PKCS#8 PEM, junto a una CSR PKCS#10 o un certificado X.509 en PEM, todo producido localmente.

Cómo usar Generador de CSR y certificados autofirmados

1. Elige el algoritmo de clave: RSA (2048, 3072 o 4096 bits) o ECDSA (P-256 o P-384).
2. Rellena los campos del sujeto, como mínimo el Common Name (CN), además de Organización, Unidad organizativa, País, Estado y Localidad según haga falta.
3. Introduce los nombres alternativos del sujeto como una lista de nombres DNS separados por comas si el certificado debe cubrir varios hosts.
4. Usa el control segmentado para elegir CSR (para enviar a una CA) o Autofirmado (listo para usar de inmediato).
5. Pulsa Generar y copia el PEM de la clave privada y el PEM de la CSR o del certificado resultante desde los bloques de salida.
6. Guarda la clave privada en un lugar seguro y mantenla en secreto; envía la CSR a tu CA o instala el certificado autofirmado donde lo necesites.

Ejemplos

Algoritmo: RSA 2048, CN: example.com, O: Example Inc, País: US, Modo: CSR

Un PEM de clave privada PKCS#8 (-----BEGIN PRIVATE KEY-----) y un PEM de CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) listo para subir a tu autoridad certificadora.

Algoritmo: ECDSA P-256, CN: localhost, SAN: localhost, dev.local, 127.0.0.1, Modo: Autofirmado

Un PEM de clave privada más un PEM de certificado X.509 (-----BEGIN CERTIFICATE-----) que cubre todas las entradas SAN listadas, usable de inmediato para HTTPS local.

Algoritmo: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Modo: CSR

Un PEM de clave privada de 4096 bits más largo y un PEM de CSR equivalente con el nombre distinguido del sujeto completo codificado.

Preguntas frecuentes

¿Se envía mi clave privada a algún sitio?

No. El par de claves se genera con la Web Crypto API y se codifica con pkijs íntegramente en tu navegador. No se sube ni se guarda nada en ningún servidor, así que la clave privada nunca sale de la página y la herramienta funciona sin conexión una vez cargada.

¿Cuál es la diferencia entre una CSR y un certificado autofirmado?

Una CSR (solicitud de firma de certificado) es una petición que envías a una autoridad certificadora, que la firma para convertirla en un certificado de confianza. Un certificado autofirmado lo firma su propia clave, sin autoridad externa, por lo que los navegadores no lo confían por defecto, pero es perfecto para desarrollo local y pruebas internas.

¿Qué algoritmos y tamaños de clave se admiten?

RSA de 2048, 3072 o 4096 bits, y ECDSA en las curvas P-256 o P-384. RSA es el más compatible; ECDSA produce claves más pequeñas y rápidas que los sistemas modernos admiten.

¿En qué formato están las salidas?

La clave privada es PKCS#8 en PEM (-----BEGIN PRIVATE KEY-----). Una CSR es PEM PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) y un certificado autofirmado es PEM X.509 (-----BEGIN CERTIFICATE-----). Copia cada bloque desde su área de salida.

¿Cómo añado varios nombres de host?

Introdúcelos en el campo de nombres alternativos del sujeto como una lista de nombres DNS separados por comas, por ejemplo example.com, www.example.com, api.example.com. Cada uno se convierte en una entrada SAN dNSName en la solicitud o el certificado.