Generatore di CSR e certificati autofirmati

Genera una chiave privata RSA o ECDSA insieme a una richiesta di firma del certificato o a un certificato X.509 autofirmato, tutto nel tuo browser.

Caricamento strumento…

Generatore di CSR e certificati autofirmatiCompila i campi del soggetto e gli eventuali nomi alternativi del soggetto, scegli RSA o ECDSA, quindi decidi se vuoi una richiesta di firma del certificato (CSR) da inviare a un'autorità di certificazione oppure un certificato X.509 autofirmato pronto all'uso. La nuova chiave privata e la CSR o il certificato compaiono come blocchi PEM che puoi copiare. Ogni chiave viene generata con la Web Crypto API e codificata con pkijs interamente all'interno del tuo browser, perciò la chiave privata non viaggia mai verso alcun server.

Cos'è Generatore di CSR e certificati autofirmati?

Questo strumento è un generatore gratuito, nel browser, di una chiave privata più una richiesta di firma del certificato (CSR) o un certificato autofirmato. Una CSR è il file che invii a un'autorità di certificazione (CA) affinché lo firmi in un certificato TLS attendibile, mentre un certificato autofirmato lo firmi tu stesso, comodo per lo sviluppo locale, i servizi interni o test rapidi. Sviluppatori, ingegneri DevOps e sysadmin vi ricorrono quando devono richiedere un certificato per un dominio, attivare HTTPS su un server di staging o creare un certificato usa e getta con il Common Name e i SAN corretti. Scegli l'algoritmo della chiave (RSA 2048/3072/4096 o ECDSA P-256/P-384), inserisci il nome distinto del soggetto (Common Name, Organizzazione, Paese e altro) e gli eventuali nomi alternativi DNS, passi tra la modalità CSR e autofirmato e fai clic su Genera. La chiave privata esce sempre in PKCS#8 PEM, accanto a una CSR PKCS#10 o a un certificato X.509 in PEM, tutto prodotto in locale.

Come usare Generatore di CSR e certificati autofirmati

  1. Scegli l'algoritmo della chiave: RSA (2048, 3072 o 4096 bit) o ECDSA (P-256 o P-384).
  2. Compila i campi del soggetto, come minimo il Common Name (CN), oltre a Organizzazione, Unità organizzativa, Paese, Stato e Località se necessario.
  3. Inserisci i nomi alternativi del soggetto come elenco di nomi DNS separati da virgole se il certificato deve coprire più nomi host.
  4. Usa il controllo segmentato per scegliere CSR (da inviare a una CA) o Autofirmato (pronto all'uso immediato).
  5. Fai clic su Genera, poi copia il PEM della chiave privata e il PEM della CSR o del certificato risultante dai blocchi di output.
  6. Conserva la chiave privata in un luogo sicuro e mantienila riservata; invia la CSR alla tua CA o installa il certificato autofirmato dove ti serve.

Esempi

CSR RSA 2048 per un singolo dominio

Input

Algoritmo: RSA 2048, CN: example.com, O: Example Inc, Paese: US, Modalità: CSR

Output

Un PEM di chiave privata PKCS#8 (-----BEGIN PRIVATE KEY-----) e un PEM di CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) pronto da caricare sulla tua autorità di certificazione.

Certificato autofirmato ECDSA P-256 con più SAN

Input

Algoritmo: ECDSA P-256, CN: localhost, SAN: localhost, dev.local, 127.0.0.1, Modalità: Autofirmato

Output

Un PEM di chiave privata più un PEM di certificato X.509 (-----BEGIN CERTIFICATE-----) che copre tutte le voci SAN elencate, utilizzabile subito per HTTPS locale.

CSR RSA 4096 per una policy più rigorosa

Input

Algoritmo: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Modalità: CSR

Output

Un PEM di chiave privata a 4096 bit più lungo e un PEM di CSR corrispondente con il nome distinto del soggetto completo codificato.

Domande frequenti

La mia chiave privata viene inviata da qualche parte?
No. La coppia di chiavi viene generata con la Web Crypto API e codificata con pkijs interamente nel tuo browser. Nulla viene caricato o memorizzato su alcun server, quindi la chiave privata non lascia mai la pagina e lo strumento funziona offline una volta caricato.
Qual è la differenza tra una CSR e un certificato autofirmato?
Una CSR (richiesta di firma del certificato) è una richiesta che invii a un'autorità di certificazione, che la firma in un certificato attendibile. Un certificato autofirmato è firmato dalla propria chiave senza un'autorità esterna, quindi i browser non lo considerano attendibile per impostazione predefinita, ma è perfetto per lo sviluppo locale e i test interni.
Quali algoritmi e dimensioni di chiave sono supportati?
RSA a 2048, 3072 o 4096 bit ed ECDSA sulle curve P-256 o P-384. RSA è il più ampiamente compatibile; ECDSA produce chiavi più piccole e veloci supportate dai sistemi moderni.
In che formato sono gli output?
La chiave privata è PKCS#8 in PEM (-----BEGIN PRIVATE KEY-----). Una CSR è PEM PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) e un certificato autofirmato è PEM X.509 (-----BEGIN CERTIFICATE-----). Copia ogni blocco dalla sua area di output.
Come aggiungo più nomi host?
Inseriscili nel campo dei nomi alternativi del soggetto come elenco di nomi DNS separati da virgole, ad esempio example.com, www.example.com, api.example.com. Ciascuno diventa una voce SAN dNSName nella richiesta o nel certificato.

Strumenti correlati

Crittografia di testo AES (AES-GCM + PBKDF2)

Cifra e decifra testo con AES-256-GCM usando una chiave derivata da una passphrase (PBKDF2 SHA-256, sale casuale), interamente nel tuo browser e senza alcun caricamento.

Hash Argon2 e scrypt

Esegui l'hash di una password con Argon2id o scrypt e verifica un hash Argon2 rispetto a una password, interamente nel tuo browser.

Generatore e Verificatore di Hash Bcrypt

Genera un hash di password bcrypt da testo in chiaro con il fattore di costo che scegli, oppure verifica una password rispetto a un hash bcrypt esistente, interamente nel tuo browser.

Generatore di mnemonica BIP39

Genera una frase di recupero BIP39 casuale da 12 a 24 parole in diverse lingue, oppure riconverti una mnemonica esistente nella sua entropia grezza, tutto nel tuo browser.