Générateur de CSR et de certificats auto-signés

Qu'est-ce que Générateur de CSR et de certificats auto-signés ?

Cet outil est un générateur gratuit, dans le navigateur, d'une clé privée accompagnée soit d'une demande de signature de certificat (CSR), soit d'un certificat auto-signé. Une CSR est le fichier que vous envoyez à une autorité de certification (CA) pour qu'elle le signe en un certificat TLS de confiance, tandis qu'un certificat auto-signé est signé par vous-même, pratique pour le développement local, les services internes ou des tests rapides. Les développeurs, ingénieurs DevOps et administrateurs système y recourent lorsqu'ils doivent demander un certificat pour un domaine, mettre en place HTTPS sur un serveur de préproduction ou créer un certificat jetable avec le bon Common Name et les bons SAN. Vous choisissez l'algorithme de clé (RSA 2048/3072/4096 ou ECDSA P-256/P-384), saisissez le nom distinctif du sujet (Common Name, Organisation, Pays et plus) et les noms alternatifs DNS, basculez entre le mode CSR et auto-signé, puis cliquez sur Générer. La clé privée sort toujours en PKCS#8 PEM, aux côtés d'une CSR PKCS#10 ou d'un certificat X.509 en PEM, le tout produit localement.

Comment utiliser Générateur de CSR et de certificats auto-signés

1. Choisissez l'algorithme de clé : RSA (2048, 3072 ou 4096 bits) ou ECDSA (P-256 ou P-384).
2. Renseignez les champs du sujet, au minimum le Common Name (CN), ainsi que l'Organisation, l'Unité organisationnelle, le Pays, l'État et la Localité selon les besoins.
3. Saisissez les noms alternatifs du sujet sous forme de liste de noms DNS séparés par des virgules si le certificat doit couvrir plusieurs noms d'hôte.
4. Utilisez le contrôle segmenté pour choisir CSR (à envoyer à une CA) ou Auto-signé (utilisable immédiatement).
5. Cliquez sur Générer, puis copiez le PEM de la clé privée et le PEM de la CSR ou du certificat obtenu depuis les blocs de sortie.
6. Conservez la clé privée en lieu sûr et gardez-la secrète ; soumettez la CSR à votre CA ou installez le certificat auto-signé là où vous en avez besoin.

Exemples

Algorithme : RSA 2048, CN : example.com, O : Example Inc, Pays : US, Mode : CSR

Un PEM de clé privée PKCS#8 (-----BEGIN PRIVATE KEY-----) et un PEM de CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) prêt à être téléversé vers votre autorité de certification.

Algorithme : ECDSA P-256, CN : localhost, SAN : localhost, dev.local, 127.0.0.1, Mode : Auto-signé

Un PEM de clé privée plus un PEM de certificat X.509 (-----BEGIN CERTIFICATE-----) couvrant toutes les entrées SAN listées, utilisable immédiatement pour du HTTPS local.

Algorithme : RSA 4096, CN : api.example.org, O : Example Org, OU : Platform, Mode : CSR

Un PEM de clé privée 4096 bits plus long et un PEM de CSR correspondant avec le nom distinctif du sujet complet encodé.

Questions fréquentes

Ma clé privée est-elle envoyée quelque part ?

Non. La paire de clés est générée avec l'API Web Crypto et encodée avec pkijs entièrement dans votre navigateur. Rien n'est téléversé ni stocké sur un serveur, la clé privée ne quitte donc jamais la page et l'outil fonctionne hors ligne une fois chargé.

Quelle est la différence entre une CSR et un certificat auto-signé ?

Une CSR (demande de signature de certificat) est une requête que vous envoyez à une autorité de certification, qui la signe en un certificat de confiance. Un certificat auto-signé est signé par sa propre clé sans autorité externe, si bien que les navigateurs ne lui font pas confiance par défaut, mais il est parfait pour le développement local et les tests internes.

Quels algorithmes et tailles de clé sont pris en charge ?

RSA en 2048, 3072 ou 4096 bits, et ECDSA sur les courbes P-256 ou P-384. RSA est le plus largement compatible ; ECDSA produit des clés plus petites et plus rapides que les systèmes modernes prennent en charge.

Dans quel format sont les sorties ?

La clé privée est au format PKCS#8 en PEM (-----BEGIN PRIVATE KEY-----). Une CSR est en PEM PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) et un certificat auto-signé est en PEM X.509 (-----BEGIN CERTIFICATE-----). Copiez chaque bloc depuis sa zone de sortie.

Comment ajouter plusieurs noms d'hôte ?

Saisissez-les dans le champ des noms alternatifs du sujet sous forme de liste de noms DNS séparés par des virgules, par exemple example.com, www.example.com, api.example.com. Chacun devient une entrée SAN dNSName dans la demande ou le certificat.