Generátor certifikátů X.509 (samopodepsané / podpis CA, načítání souborů)

O tomto nástroji

Generuje RSA klíče přímo v prohlížeči (Web Crypto API) a vytváří samopodepsané certifikáty i certifikáty podepsané vlastní CA pomocí existujícího privátního klíče.

  • Typy klíčů: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Pole Subject (CN, O, OU, C, ST, L) v kódování UTF-8
  • Podpora SAN (DNS, IP)
  • Rozšíření: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Výstup: certifikát (DER .crt / PEM), privátní klíč (PKCS#8 PEM), společný PEM bundle

V režimu podpisu CA můžete přímo načíst soubory .crt (DER/PEM) a .key (PKCS#8 PEM). Díky tomu lze například nainstalovat kořenový certifikát pouze jednou a pro jednotlivé servery generovat certifikáty bez opakované importace klíčů. Veškeré zpracování probíhá ve vašem prohlížeči; žádná data se neodesílají.

Profil

Subject / Issuer

Subject Alternative Name

Extensions

Postup: vytvoření vlastní certifikační hierarchie

  1. Vytvořte kořenovou CA (režim: samopodepsaný (self-signed), profil: CA).
    Uložte root.crt (DER) a private.key.
  2. Vystavte serverový certifikát (režim: podpis CA, profil: Server).
    V poli „Certifikát CA“ zvolte root.crt a u „Privátní klíč CA“ vyberte private.key.
    Do SAN zadejte odpovídající DNS/IP a stiskněte „Generovat“. Výsledkem budou cert.crt (server) a private.key (server).
  3. Na klienty importujte root.crt do důvěryhodného úložiště (Firefox má vlastní úložiště).
    Na server umístěte serverový certifikát a klíč, případně přiložte řetěz.

Upozornění

  • Pokud povolíte příznak CA (basicConstraints=CA), aktivujte také keyUsage keyCertSign.
  • Privátní klíč kořenové CA uchovávejte offline.
  • Šifrované PKCS#8 (BEGIN ENCRYPTED PRIVATE KEY) zatím není podporováno.

Veškeré zpracování probíhá přímo ve vašem prohlížeči; žádná data se neodesílají.