Generator CSR i certyfikatów samopodpisanych

Czym jest Generator CSR i certyfikatów samopodpisanych?

To narzędzie to darmowy generator działający w przeglądarce, tworzący klucz prywatny oraz żądanie podpisania certyfikatu (CSR) albo samopodpisany certyfikat. CSR to plik, który wysyłasz do urzędu certyfikacji (CA), aby podpisał go i przekształcił w zaufany certyfikat TLS, natomiast certyfikat samopodpisany podpisujesz samodzielnie, co jest przydatne do lokalnego programowania, usług wewnętrznych lub szybkich testów. Programiści, inżynierowie DevOps i administratorzy systemów sięgają po nie, gdy muszą zażądać certyfikatu dla domeny, uruchomić HTTPS na serwerze testowym lub utworzyć jednorazowy certyfikat z odpowiednią nazwą Common Name i wpisami SAN. Wybierasz algorytm klucza (RSA 2048/3072/4096 lub ECDSA P-256/P-384), wpisujesz wyróżniającą nazwę podmiotu (Common Name, Organizacja, Kraj i więcej) oraz alternatywne nazwy DNS, przełączasz między trybem CSR a samopodpisanym i klikasz Generuj. Klucz prywatny zawsze wychodzi jako PKCS#8 PEM, obok niego CSR PKCS#10 lub certyfikat X.509 w formacie PEM, a wszystko tworzone jest lokalnie.

Jak używać Generator CSR i certyfikatów samopodpisanych

1. Wybierz algorytm klucza: RSA (2048, 3072 lub 4096 bitów) albo ECDSA (P-256 lub P-384).
2. Wypełnij pola podmiotu, co najmniej Common Name (CN), a także Organizację, Jednostkę organizacyjną, Kraj, Województwo i Miejscowość w razie potrzeby.
3. Wprowadź alternatywne nazwy podmiotu jako listę nazw DNS oddzielonych przecinkami, jeśli certyfikat musi obejmować kilka nazw hostów.
4. Użyj kontrolki segmentowej, aby wybrać CSR (do wysłania do CA) lub Samopodpisany (gotowy do natychmiastowego użycia).
5. Kliknij Generuj, a następnie skopiuj PEM klucza prywatnego oraz wynikowy PEM CSR lub certyfikatu z bloków wyjściowych.
6. Przechowuj klucz prywatny w bezpiecznym miejscu i zachowaj go w tajemnicy; wyślij CSR do swojego CA lub zainstaluj samopodpisany certyfikat tam, gdzie go potrzebujesz.

Przykłady

Algorytm: RSA 2048, CN: example.com, O: Example Inc, Kraj: US, Tryb: CSR

PEM klucza prywatnego PKCS#8 (-----BEGIN PRIVATE KEY-----) oraz PEM CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) gotowy do przesłania do Twojego urzędu certyfikacji.

Algorytm: ECDSA P-256, CN: localhost, SAN: localhost, dev.local, 127.0.0.1, Tryb: Samopodpisany

PEM klucza prywatnego oraz PEM certyfikatu X.509 (-----BEGIN CERTIFICATE-----) obejmujący wszystkie wymienione wpisy SAN, gotowy do natychmiastowego użycia dla lokalnego HTTPS.

Algorytm: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Tryb: CSR

Dłuższy 4096-bitowy PEM klucza prywatnego oraz pasujący PEM CSR z w pełni zakodowaną wyróżniającą nazwą podmiotu.

Najczęściej zadawane pytania

Czy mój klucz prywatny jest gdzieś wysyłany?

Nie. Para kluczy jest generowana za pomocą Web Crypto API i kodowana za pomocą pkijs w całości w Twojej przeglądarce. Nic nie jest przesyłane ani przechowywane na żadnym serwerze, więc klucz prywatny nigdy nie opuszcza strony, a narzędzie działa offline po załadowaniu.

Jaka jest różnica między CSR a certyfikatem samopodpisanym?

CSR (żądanie podpisania certyfikatu) to żądanie, które wysyłasz do urzędu certyfikacji, który podpisuje je i przekształca w zaufany certyfikat. Certyfikat samopodpisany jest podpisany własnym kluczem bez zewnętrznego urzędu, więc przeglądarki domyślnie mu nie ufają, ale jest idealny do lokalnego programowania i testów wewnętrznych.

Jakie algorytmy i rozmiary kluczy są obsługiwane?

RSA o długości 2048, 3072 lub 4096 bitów oraz ECDSA na krzywych P-256 lub P-384. RSA jest najszerzej kompatybilny; ECDSA tworzy mniejsze, szybsze klucze obsługiwane przez nowoczesne systemy.

W jakim formacie są dane wyjściowe?

Klucz prywatny to PKCS#8 w formacie PEM (-----BEGIN PRIVATE KEY-----). CSR to PEM PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----), a certyfikat samopodpisany to PEM X.509 (-----BEGIN CERTIFICATE-----). Skopiuj każdy blok z jego obszaru wyjściowego.

Jak dodać wiele nazw hostów?

Wprowadź je w polu alternatywnych nazw podmiotu jako listę nazw DNS oddzielonych przecinkami, na przykład example.com, www.example.com, api.example.com. Każda z nich staje się wpisem SAN dNSName w żądaniu lub certyfikacie.