مولد شهادات X.509 (موقعة ذاتياً / موقعة من CA، مع دعم قراءة الملفات)
نبذة عن هذه الأداة
ينشئ المتصفح (Web Crypto API) مفاتيح RSA لإصدار شهادات موقعة ذاتياً وأخرى موقعة من سلطة إصدار باستخدام مفتاح خاص موجود.
- أنواع المفاتيح: RSA 2048 / 3072 (خوارزمية RSASSA-PKCS1-v1_5 مع SHA-256)
- حقول Subject (CN, O, OU, C, ST, L) محفوظة بترميز UTF-8
- يدعم Subject Alternative Name لكل من DNS وIP
- الامتدادات المتاحة: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
- المخرجات: الشهادة (DER .crt / PEM)، المفتاح الخاص (PKCS#8 PEM)، ملف موحد بصيغة PEM
في وضع توقيع CA يمكن تحميل ملفات .crt (DER/PEM) و.key (PKCS#8 PEM) مباشرة من القرص. يتيح ذلك الاحتفاظ بجذر داخلي على أجهزة الشركة وإصدار شهادات الخوادم دون إعادة استيراد المفاتيح. تتم كل المعالجة داخل المتصفح (لا يتم إرسال أي بيانات).
الملف التعريفي
Subject / Issuer
Subject Alternative Name
Extensions
إدخالات وضع توقيع CA
المخرجات
الرقم التسلسلي / البصمة
الشهادة (PEM)
المفتاح الخاص (PKCS#8 PEM)
الخطوات: إنشاء سلسلة شهادات داخلية
- إنشاء الجذر (Root CA) باستخدام الوضع: توقيع ذاتي، الملف التعريفي: CA.
احفظ ملفاتroot.crt(DER) وprivate.key. - إصدار شهادة الخادم باستخدام الوضع: توقيع بواسطة CA، الملف التعريفي: Server.
اخترroot.crtفي حقل شهادة CA، وprivate.keyفي حقل مفتاح CA.
أضف أسماء DNS/عناوين IP المطلوبة إلى SAN ثم اضغط «توليد».
استخدم الملفات الناتجةcert.crt(الخادم) وprivate.key(الخادم). - استورد
root.crtفي مخزن الثقة على الأجهزة العميلة (Firefox يملك مخزناً مستقلاً).
على الخادم، ضع الشهادة والمفتاح الخاص، وأرفق سلسلة الثقة عند الحاجة.
ملاحظات
- عند تفعيل علم CA في basicConstraints تأكد من تفعيل keyUsage = keyCertSign أيضاً.
- يجب حفظ المفتاح الخاص للجذر في بيئة غير متصلة.
- المفاتيح المشفرة بصيغة PKCS#8 (BEGIN ENCRYPTED PRIVATE KEY) غير مدعومة.
تتم كل المعالجة داخل المتصفح؛ لا يتم إرسال أي بيانات.