Генератор CSR и самоподписанных сертификатов

Что такое Генератор CSR и самоподписанных сертификатов?

Этот инструмент — бесплатный браузерный генератор закрытого ключа вместе с запросом на подпись сертификата (CSR) или самоподписанным сертификатом. CSR — это файл, который вы отправляете в удостоверяющий центр (CA), чтобы он подписал его и превратил в доверенный TLS-сертификат, а самоподписанный сертификат вы подписываете сами — это удобно для локальной разработки, внутренних сервисов или быстрого тестирования. Разработчики, DevOps-инженеры и системные администраторы используют его, когда нужно запросить сертификат для домена, поднять HTTPS на тестовом сервере или создать одноразовый сертификат с правильным Common Name и SAN. Вы выбираете алгоритм ключа (RSA 2048/3072/4096 или ECDSA P-256/P-384), вводите различительное имя субъекта (Common Name, организация, страна и прочее) и любые альтернативные DNS-имена, переключаетесь между режимами CSR и самоподписанного сертификата и нажимаете «Создать». Закрытый ключ всегда выводится в формате PKCS#8 PEM, рядом — либо CSR в формате PKCS#10, либо сертификат X.509 в PEM, и всё это создаётся локально.

Как пользоваться Генератор CSR и самоподписанных сертификатов

1. Выберите алгоритм ключа: RSA (2048, 3072 или 4096 бит) или ECDSA (P-256 или P-384).
2. Заполните поля субъекта, как минимум Common Name (CN), а также организацию, организационное подразделение, страну, регион и населённый пункт по необходимости.
3. Введите альтернативные имена субъекта в виде списка DNS-имён через запятую, если сертификат должен охватывать несколько имён хостов.
4. С помощью сегментированного переключателя выберите CSR (для отправки в CA) или Самоподписанный (готов к немедленному использованию).
5. Нажмите «Создать», затем скопируйте PEM закрытого ключа и полученный PEM CSR или сертификата из блоков вывода.
6. Храните закрытый ключ в надёжном месте и держите его в секрете; отправьте CSR в свой CA или установите самоподписанный сертификат там, где он нужен.

Примеры

Алгоритм: RSA 2048, CN: example.com, O: Example Inc, Страна: US, Режим: CSR

PEM закрытого ключа PKCS#8 (-----BEGIN PRIVATE KEY-----) и PEM CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----), готовый к загрузке в ваш удостоверяющий центр.

Алгоритм: ECDSA P-256, CN: localhost, SAN: localhost, dev.local, 127.0.0.1, Режим: Самоподписанный

PEM закрытого ключа плюс PEM сертификата X.509 (-----BEGIN CERTIFICATE-----), охватывающий все перечисленные записи SAN, готовый к использованию для локального HTTPS.

Алгоритм: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Режим: CSR

Более длинный PEM закрытого ключа на 4096 бит и соответствующий PEM CSR с полностью закодированным различительным именем субъекта.

Часто задаваемые вопросы

Отправляется ли мой закрытый ключ куда-либо?

Нет. Пара ключей создаётся с помощью Web Crypto API и кодируется через pkijs полностью в вашем браузере. Ничего не загружается и не хранится ни на одном сервере, поэтому закрытый ключ никогда не покидает страницу, а инструмент работает офлайн после загрузки.

В чём разница между CSR и самоподписанным сертификатом?

CSR (запрос на подпись сертификата) — это запрос, который вы отправляете в удостоверяющий центр, и он подписывает его, превращая в доверенный сертификат. Самоподписанный сертификат подписан собственным ключом без внешнего центра, поэтому браузеры по умолчанию ему не доверяют, но он идеально подходит для локальной разработки и внутреннего тестирования.

Какие алгоритмы и размеры ключей поддерживаются?

RSA на 2048, 3072 или 4096 бит, а также ECDSA на кривых P-256 или P-384. RSA наиболее совместим; ECDSA создаёт меньшие и более быстрые ключи, которые поддерживают современные системы.

В каком формате выводятся результаты?

Закрытый ключ — PKCS#8 в PEM (-----BEGIN PRIVATE KEY-----). CSR — это PKCS#10 PEM (-----BEGIN CERTIFICATE REQUEST-----), а самоподписанный сертификат — X.509 PEM (-----BEGIN CERTIFICATE-----). Скопируйте каждый блок из его области вывода.

Как добавить несколько имён хостов?

Введите их в поле «Альтернативные имена субъекта» в виде списка DNS-имён через запятую, например example.com, www.example.com, api.example.com. Каждое становится записью SAN типа dNSName в запросе или сертификате.