Trình tạo CSR và chứng chỉ tự ký

Trình tạo CSR và chứng chỉ tự ký là gì?

Công cụ này là một trình tạo miễn phí, chạy trong trình duyệt, tạo ra một khóa riêng kèm theo yêu cầu ký chứng chỉ (CSR) hoặc một chứng chỉ tự ký. CSR là tệp bạn gửi đến cơ quan cấp chứng chỉ (CA) để được ký thành một chứng chỉ TLS đáng tin cậy, trong khi chứng chỉ tự ký là chứng chỉ do chính bạn ký, tiện lợi cho phát triển cục bộ, dịch vụ nội bộ hoặc thử nghiệm nhanh. Các nhà phát triển, kỹ sư DevOps và quản trị viên hệ thống dùng đến nó khi cần yêu cầu chứng chỉ cho một tên miền, dựng HTTPS trên máy staging, hoặc tạo một chứng chỉ dùng một lần với Common Name và SAN đúng. Bạn chọn thuật toán khóa (RSA 2048/3072/4096 hoặc ECDSA P-256/P-384), nhập tên phân biệt của chủ thể (Common Name, Tổ chức, Quốc gia và hơn thế nữa) cùng các tên thay thế chủ thể DNS, chuyển đổi giữa chế độ CSR và tự ký, rồi nhấn Tạo. Khóa riêng luôn xuất ra ở dạng PKCS#8 PEM, bên cạnh đó là CSR PKCS#10 hoặc chứng chỉ X.509 ở dạng PEM, tất cả đều được tạo cục bộ.

Cách sử dụng Trình tạo CSR và chứng chỉ tự ký

1. Chọn thuật toán khóa: RSA (2048, 3072 hoặc 4096 bit) hoặc ECDSA (P-256 hoặc P-384).
2. Điền các trường chủ thể, tối thiểu là Common Name (CN), cùng với Tổ chức, Đơn vị tổ chức, Quốc gia, Tỉnh/Bang và Địa phương khi cần.
3. Nhập các tên thay thế chủ thể dưới dạng danh sách tên DNS phân tách bằng dấu phẩy nếu chứng chỉ phải bao phủ nhiều tên máy chủ.
4. Dùng nút điều khiển phân đoạn để chọn CSR (để gửi đến CA) hoặc Tự ký (sẵn sàng dùng ngay).
5. Nhấn Tạo, sau đó sao chép PEM khóa riêng và PEM CSR hoặc chứng chỉ thu được từ các khối đầu ra.
6. Lưu khóa riêng ở nơi an toàn và giữ bí mật; gửi CSR đến CA của bạn, hoặc cài đặt chứng chỉ tự ký ở nơi bạn cần.

Ví dụ

Thuật toán: RSA 2048, CN: example.com, O: Example Inc, Quốc gia: US, Chế độ: CSR

Một PEM khóa riêng PKCS#8 (-----BEGIN PRIVATE KEY-----) và một PEM CSR PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) sẵn sàng để tải lên cơ quan cấp chứng chỉ của bạn.

Thuật toán: ECDSA P-256, CN: localhost, SAN: localhost, dev.local, 127.0.0.1, Chế độ: Tự ký

Một PEM khóa riêng cùng một PEM chứng chỉ X.509 (-----BEGIN CERTIFICATE-----) bao phủ tất cả các mục SAN được liệt kê, dùng được ngay cho HTTPS cục bộ.

Thuật toán: RSA 4096, CN: api.example.org, O: Example Org, OU: Platform, Chế độ: CSR

Một PEM khóa riêng 4096-bit dài hơn và một PEM CSR tương ứng với tên phân biệt chủ thể đầy đủ được mã hóa.

Câu hỏi thường gặp

Khóa riêng của tôi có được gửi đi đâu không?

Không. Cặp khóa được tạo bằng Web Crypto API và mã hóa bằng pkijs hoàn toàn trong trình duyệt của bạn. Không có gì được tải lên hay lưu trữ trên bất kỳ máy chủ nào, nên khóa riêng không bao giờ rời khỏi trang và công cụ hoạt động ngoại tuyến sau khi đã tải.

Sự khác biệt giữa CSR và chứng chỉ tự ký là gì?

CSR (yêu cầu ký chứng chỉ) là một yêu cầu bạn gửi đến cơ quan cấp chứng chỉ, nơi sẽ ký nó thành một chứng chỉ đáng tin cậy. Chứng chỉ tự ký được ký bằng chính khóa của nó mà không có cơ quan bên ngoài, nên trình duyệt mặc định không tin cậy nó, nhưng nó hoàn hảo cho phát triển cục bộ và thử nghiệm nội bộ.

Những thuật toán và kích thước khóa nào được hỗ trợ?

RSA ở 2048, 3072 hoặc 4096 bit, và ECDSA trên các đường cong P-256 hoặc P-384. RSA tương thích rộng rãi nhất; ECDSA tạo ra các khóa nhỏ hơn, nhanh hơn mà các hệ thống hiện đại hỗ trợ.

Đầu ra ở định dạng nào?

Khóa riêng ở dạng PKCS#8 trong PEM (-----BEGIN PRIVATE KEY-----). CSR là PEM PKCS#10 (-----BEGIN CERTIFICATE REQUEST-----) và chứng chỉ tự ký là PEM X.509 (-----BEGIN CERTIFICATE-----). Sao chép từng khối từ vùng đầu ra của nó.

Làm thế nào để thêm nhiều tên máy chủ?

Nhập chúng vào trường Tên thay thế chủ thể dưới dạng danh sách tên DNS phân tách bằng dấu phẩy, ví dụ example.com, www.example.com, api.example.com. Mỗi tên trở thành một mục SAN dNSName trong yêu cầu hoặc chứng chỉ.