Gerador de CSR e certificados autoassinados

Gere uma chave privada RSA ou ECDSA junto com uma solicitação de assinatura de certificado ou um certificado X.509 autoassinado, tudo no seu navegador.

Carregando ferramenta…

Gerador de CSR e certificados autoassinadosPreencha os campos do sujeito e os nomes alternativos do sujeito que precisar, escolha RSA ou ECDSA e então decida se quer uma solicitação de assinatura de certificado (CSR) para enviar a uma autoridade certificadora ou um certificado X.509 autoassinado pronto para usar. A nova chave privada e a CSR ou o certificado aparecem como blocos PEM que você pode copiar. Cada chave é gerada com a Web Crypto API e codificada com pkijs inteiramente dentro do seu navegador, de modo que a chave privada nunca viaja para nenhum servidor.

O que é Gerador de CSR e certificados autoassinados?

Esta ferramenta é um gerador gratuito, no navegador, de uma chave privada mais uma solicitação de assinatura de certificado (CSR) ou um certificado autoassinado. Uma CSR é o arquivo que você envia a uma autoridade certificadora (CA) para ser assinado em um certificado TLS confiável, enquanto um certificado autoassinado é assinado por você mesmo, útil para desenvolvimento local, serviços internos ou testes rápidos. Desenvolvedores, engenheiros de DevOps e administradores de sistemas recorrem a ela quando precisam solicitar um certificado para um domínio, subir HTTPS em um ambiente de homologação ou criar um certificado descartável com o Common Name e os SANs corretos. Você escolhe o algoritmo de chave (RSA 2048/3072/4096 ou ECDSA P-256/P-384), insere o nome distinto do sujeito (Common Name, Organização, País e mais) e os nomes alternativos DNS, alterna entre os modos CSR e autoassinado e clica em Gerar. A chave privada sempre sai em PKCS#8 PEM, ao lado de uma CSR PKCS#10 ou de um certificado X.509 em PEM, tudo produzido localmente.

Como usar Gerador de CSR e certificados autoassinados

  1. Escolha o algoritmo de chave: RSA (2048, 3072 ou 4096 bits) ou ECDSA (P-256 ou P-384).
  2. Preencha os campos do sujeito, no mínimo o Common Name (CN), além de Organização, Unidade organizacional, País, Estado e Localidade conforme necessário.
  3. Insira os nomes alternativos do sujeito como uma lista de nomes DNS separados por vírgulas se o certificado precisar cobrir vários nomes de host.
  4. Use o controle segmentado para escolher CSR (para enviar a uma CA) ou Autoassinado (pronto para usar imediatamente).
  5. Clique em Gerar e copie o PEM da chave privada e o PEM da CSR ou do certificado resultante a partir dos blocos de saída.
  6. Guarde a chave privada em um local seguro e mantenha-a em sigilo; envie a CSR à sua CA ou instale o certificado autoassinado onde precisar.

Exemplos

CSR RSA 2048 para um único domínio

Entrada

Algoritmo: RSA 2048, CN: example.com, O: Example Inc, País: US, Modo: CSR

Saída

Um PEM de chave privada PKCS#8 (-----BEGIN PRIVATE KEY-----) e um PEM de CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) pronto para enviar à sua autoridade certificadora.

Certificado autoassinado ECDSA P-256 com vários SANs

Entrada

Algoritmo: ECDSA P-256, CN: localhost, SANs: localhost, dev.local, 127.0.0.1, Modo: Autoassinado

Saída

Um PEM de chave privada mais um PEM de certificado X.509 (-----BEGIN CERTIFICATE-----) cobrindo todas as entradas SAN listadas, utilizável de imediato para HTTPS local.

CSR RSA 4096 para uma política mais rígida

Entrada

Algoritmo: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Modo: CSR

Saída

Um PEM de chave privada de 4096 bits mais longo e um PEM de CSR correspondente com o nome distinto do sujeito completo codificado.

Perguntas frequentes

Minha chave privada é enviada para algum lugar?
Não. O par de chaves é gerado com a Web Crypto API e codificado com pkijs inteiramente no seu navegador. Nada é enviado nem armazenado em nenhum servidor, portanto a chave privada nunca sai da página e a ferramenta funciona offline depois de carregada.
Qual é a diferença entre uma CSR e um certificado autoassinado?
Uma CSR (solicitação de assinatura de certificado) é um pedido que você envia a uma autoridade certificadora, que a assina em um certificado confiável. Um certificado autoassinado é assinado pela própria chave sem autoridade externa, então os navegadores não confiam nele por padrão, mas ele é perfeito para desenvolvimento local e testes internos.
Quais algoritmos e tamanhos de chave são suportados?
RSA em 2048, 3072 ou 4096 bits, e ECDSA nas curvas P-256 ou P-384. RSA é o mais amplamente compatível; ECDSA produz chaves menores e mais rápidas que os sistemas modernos suportam.
Em que formato estão as saídas?
A chave privada é PKCS#8 em PEM (-----BEGIN PRIVATE KEY-----). Uma CSR é PEM PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) e um certificado autoassinado é PEM X.509 (-----BEGIN CERTIFICATE-----). Copie cada bloco da sua área de saída.
Como adiciono vários nomes de host?
Insira-os no campo de nomes alternativos do sujeito como uma lista de nomes DNS separados por vírgulas, por exemplo example.com, www.example.com, api.example.com. Cada um se torna uma entrada SAN dNSName na solicitação ou no certificado.

Ferramentas relacionadas

Criptografia de texto AES (AES-GCM + PBKDF2)

Criptografe e descriptografe texto com AES-256-GCM usando uma chave derivada de uma frase secreta (PBKDF2 SHA-256, sal aleatório), inteiramente no seu navegador e sem envios.

Hash Argon2 e scrypt

Faça o hash de uma senha com Argon2id ou scrypt e verifique um hash Argon2 em relação a uma senha, inteiramente no seu navegador.

Gerador e Verificador de Hash Bcrypt

Gere um hash de senha bcrypt a partir de texto simples com o fator de custo que escolher, ou verifique uma senha em relação a um hash bcrypt existente, tudo no seu navegador.

Gerador de mnemônico BIP39

Gere uma frase de recuperação BIP39 aleatória de 12 a 24 palavras em vários idiomas, ou converta um mnemônico existente de volta em sua entropia bruta, tudo no seu navegador.