Generator voor CSR's en zelfondertekende certificaten

Genereer een RSA- of ECDSA-privésleutel samen met een certificaatondertekeningsverzoek of een zelfondertekend X.509-certificaat, helemaal in je browser.

Tool laden…

Generator voor CSR's en zelfondertekende certificatenVul de subjectvelden en eventuele alternatieve subjectnamen in, kies RSA of ECDSA en bepaal vervolgens of je een certificaatondertekeningsverzoek (CSR) wilt om naar een certificeringsinstantie te sturen of een direct bruikbaar zelfondertekend X.509-certificaat. De nieuwe privésleutel en de CSR of het certificaat verschijnen als PEM-blokken die je kunt kopiëren. Elke sleutel wordt gegenereerd met de Web Crypto API en gecodeerd met pkijs volledig binnen je browser, zodat de privésleutel nooit naar een server reist.

Wat is Generator voor CSR's en zelfondertekende certificaten?

Deze tool is een gratis generator in de browser voor een privésleutel plus ofwel een certificaatondertekeningsverzoek (CSR) ofwel een zelfondertekend certificaat. Een CSR is het bestand dat je naar een certificeringsinstantie (CA) stuurt om het te laten ondertekenen tot een vertrouwd TLS-certificaat, terwijl een zelfondertekend certificaat er een is die je zelf ondertekent, handig voor lokale ontwikkeling, interne diensten of snelle tests. Ontwikkelaars, DevOps-engineers en systeembeheerders grijpen ernaar wanneer ze een certificaat voor een domein moeten aanvragen, HTTPS op een stagingomgeving moeten opzetten of een wegwerpcertificaat met de juiste Common Name en SAN's moeten maken. Je kiest het sleutelalgoritme (RSA 2048/3072/4096 of ECDSA P-256/P-384), voert de distinguished name van het subject in (Common Name, Organisatie, Land en meer) en eventuele alternatieve DNS-namen, wisselt tussen de CSR- en zelfondertekende modus en klikt op Genereren. De privésleutel komt altijd als PKCS#8-PEM eruit, naast ofwel een PKCS#10-CSR ofwel een X.509-certificaat in PEM, allemaal lokaal geproduceerd.

Generator voor CSR's en zelfondertekende certificaten gebruiken

  1. Kies het sleutelalgoritme: RSA (2048, 3072 of 4096 bit) of ECDSA (P-256 of P-384).
  2. Vul de subjectvelden in, ten minste de Common Name (CN), plus Organisatie, Organisatie-eenheid, Land, Staat en Plaats indien nodig.
  3. Voer alternatieve subjectnamen in als een door komma's gescheiden lijst van DNS-namen als het certificaat meerdere hostnamen moet dekken.
  4. Gebruik de segmentregelaar om CSR (om naar een CA te sturen) of Zelfondertekend (direct bruikbaar) te kiezen.
  5. Klik op Genereren en kopieer vervolgens de PEM van de privésleutel en de PEM van de resulterende CSR of het certificaat uit de uitvoerblokken.
  6. Bewaar de privésleutel op een veilige plek en houd hem geheim; dien de CSR in bij je CA of installeer het zelfondertekende certificaat waar je het nodig hebt.

Voorbeelden

RSA 2048-CSR voor één domein

Invoer

Algoritme: RSA 2048, CN: example.com, O: Example Inc, Land: US, Modus: CSR

Uitvoer

Een PKCS#8-privésleutel-PEM (-----BEGIN PRIVATE KEY-----) en een PKCS#10-CSR-PEM (-----BEGIN CERTIFICATE REQUEST-----) klaar om te uploaden naar je certificeringsinstantie.

Zelfondertekend ECDSA P-256-certificaat met meerdere SAN's

Invoer

Algoritme: ECDSA P-256, CN: localhost, SAN's: localhost, dev.local, 127.0.0.1, Modus: Zelfondertekend

Uitvoer

Een privésleutel-PEM plus een X.509-certificaat-PEM (-----BEGIN CERTIFICATE-----) die alle vermelde SAN-vermeldingen dekt, meteen bruikbaar voor lokale HTTPS.

RSA 4096-CSR voor een strenger beleid

Invoer

Algoritme: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Modus: CSR

Uitvoer

Een langere 4096-bits privésleutel-PEM en een bijbehorende CSR-PEM met de volledige distinguished name van het subject gecodeerd.

Veelgestelde vragen

Wordt mijn privésleutel ergens naartoe verzonden?
Nee. Het sleutelpaar wordt gegenereerd met de Web Crypto API en gecodeerd met pkijs volledig in je browser. Er wordt niets geüpload naar of opgeslagen op een server, dus de privésleutel verlaat de pagina nooit en de tool werkt offline zodra hij is geladen.
Wat is het verschil tussen een CSR en een zelfondertekend certificaat?
Een CSR (certificaatondertekeningsverzoek) is een verzoek dat je naar een certificeringsinstantie stuurt, die het ondertekent tot een vertrouwd certificaat. Een zelfondertekend certificaat wordt door zijn eigen sleutel ondertekend zonder externe instantie, waardoor browsers het standaard niet vertrouwen, maar het is perfect voor lokale ontwikkeling en interne tests.
Welke sleutelalgoritmen en -groottes worden ondersteund?
RSA op 2048, 3072 of 4096 bit, en ECDSA op de curven P-256 of P-384. RSA is het breedst compatibel; ECDSA produceert kleinere, snellere sleutels die moderne systemen ondersteunen.
In welk formaat zijn de uitvoeren?
De privésleutel is PKCS#8 in PEM (-----BEGIN PRIVATE KEY-----). Een CSR is PKCS#10-PEM (-----BEGIN CERTIFICATE REQUEST-----) en een zelfondertekend certificaat is X.509-PEM (-----BEGIN CERTIFICATE-----). Kopieer elk blok uit zijn uitvoergebied.
Hoe voeg ik meerdere hostnamen toe?
Voer ze in het veld voor alternatieve subjectnamen in als een door komma's gescheiden lijst van DNS-namen, bijvoorbeeld example.com, www.example.com, api.example.com. Elk wordt een dNSName-SAN-vermelding in het verzoek of certificaat.

Gerelateerde tools

AES-tekstversleuteling (AES-GCM + PBKDF2)

Versleutel en ontsleutel tekst met AES-256-GCM via een sleutel afgeleid van een wachtwoordzin (PBKDF2 SHA-256, willekeurige salt), volledig in je browser en zonder uploads.

Argon2- en scrypt-hash

Hash een wachtwoord met Argon2id of scrypt en verifieer een Argon2-hash tegen een wachtwoord, volledig in je browser.

Bcrypt-hashgenerator en -verificator

Genereer een bcrypt-wachtwoordhash uit platte tekst met een gekozen kostenfactor, of verifieer een wachtwoord tegen een bestaande bcrypt-hash, volledig in je browser.

BIP39-mnemonic-generator

Genereer een willekeurige BIP39-herstelzin van 12 tot 24 woorden in meerdere talen, of zet een bestaande mnemonic terug om naar de ruwe entropie, helemaal in je browser.