Генератор CSR і самопідписаних сертифікатів

Що таке Генератор CSR і самопідписаних сертифікатів?

Цей інструмент — безкоштовний браузерний генератор закритого ключа разом із запитом на підписання сертифіката (CSR) або самопідписаним сертифікатом. CSR — це файл, який ви надсилаєте до центру сертифікації (CA), щоб він підписав його та перетворив на довірений TLS-сертифікат, тоді як самопідписаний сертифікат ви підписуєте самі — це зручно для локальної розробки, внутрішніх сервісів чи швидкого тестування. Розробники, DevOps-інженери та системні адміністратори використовують його, коли потрібно запросити сертифікат для домену, підняти HTTPS на тестовому сервері чи створити одноразовий сертифікат із правильним Common Name та SAN. Ви вибираєте алгоритм ключа (RSA 2048/3072/4096 або ECDSA P-256/P-384), вводите розрізняльне імʼя субʼєкта (Common Name, організація, країна тощо) та будь-які альтернативні DNS-імена, перемикаєтеся між режимами CSR і самопідписаного сертифіката та натискаєте «Створити». Закритий ключ завжди виводиться у форматі PKCS#8 PEM, поруч — або CSR у форматі PKCS#10, або сертифікат X.509 у PEM, і все це створюється локально.

Як користуватися Генератор CSR і самопідписаних сертифікатів

1. Виберіть алгоритм ключа: RSA (2048, 3072 або 4096 біт) чи ECDSA (P-256 або P-384).
2. Заповніть поля субʼєкта, щонайменше Common Name (CN), а також організацію, організаційний підрозділ, країну, регіон і населений пункт за потреби.
3. Введіть альтернативні імена субʼєкта у вигляді списку DNS-імен через кому, якщо сертифікат має охоплювати кілька імен хостів.
4. За допомогою сегментованого перемикача виберіть CSR (для надсилання до CA) або Самопідписаний (готовий до негайного використання).
5. Натисніть «Створити», потім скопіюйте PEM закритого ключа та отриманий PEM CSR чи сертифіката з блоків виводу.
6. Зберігайте закритий ключ у надійному місці й тримайте його в таємниці; надішліть CSR до свого CA або встановіть самопідписаний сертифікат там, де він потрібен.

Приклади

Алгоритм: RSA 2048, CN: example.com, O: Example Inc, Країна: US, Режим: CSR

PEM закритого ключа PKCS#8 (-----BEGIN PRIVATE KEY-----) і PEM CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----), готовий до завантаження у ваш центр сертифікації.

Алгоритм: ECDSA P-256, CN: localhost, SAN: localhost, dev.local, 127.0.0.1, Режим: Самопідписаний

PEM закритого ключа плюс PEM сертифіката X.509 (-----BEGIN CERTIFICATE-----), що охоплює всі перелічені записи SAN, готовий до використання для локального HTTPS.

Алгоритм: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Режим: CSR

Довший PEM закритого ключа на 4096 біт і відповідний PEM CSR із повністю закодованим розрізняльним іменем субʼєкта.

Поширені запитання

Чи надсилається мій закритий ключ кудись?

Ні. Пара ключів створюється за допомогою Web Crypto API та кодується через pkijs повністю у вашому браузері. Нічого не завантажується й не зберігається на жодному сервері, тож закритий ключ ніколи не залишає сторінку, а інструмент працює офлайн після завантаження.

У чому різниця між CSR і самопідписаним сертифікатом?

CSR (запит на підписання сертифіката) — це запит, який ви надсилаєте до центру сертифікації, і він підписує його, перетворюючи на довірений сертифікат. Самопідписаний сертифікат підписаний власним ключем без зовнішнього центру, тому браузери за замовчуванням йому не довіряють, але він ідеально підходить для локальної розробки та внутрішнього тестування.

Які алгоритми та розміри ключів підтримуються?

RSA на 2048, 3072 або 4096 біт, а також ECDSA на кривих P-256 чи P-384. RSA найбільш сумісний; ECDSA створює менші та швидші ключі, які підтримують сучасні системи.

У якому форматі виводяться результати?

Закритий ключ — PKCS#8 у PEM (-----BEGIN PRIVATE KEY-----). CSR — це PKCS#10 PEM (-----BEGIN CERTIFICATE REQUEST-----), а самопідписаний сертифікат — X.509 PEM (-----BEGIN CERTIFICATE-----). Скопіюйте кожен блок з його області виводу.

Як додати кілька імен хостів?

Введіть їх у полі «Альтернативні імена субʼєкта» у вигляді списку DNS-імен через кому, наприклад example.com, www.example.com, api.example.com. Кожне стає записом SAN типу dNSName у запиті чи сертифікаті.