X.509-Zertifikatsgenerator (Self-Signed/CA)

Über dieses Tool

Erzeuge RSA-Schlüssel vollständig im Browser (Web Crypto API), um selbstsignierte Zertifikate auszustellen oder mit einem vorhandenen CA-Privatschlüssel CA-signierte Zertifikate zu generieren.

  • Schlüsseltypen: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Subject-Felder (CN, O, OU, C, ST, L) werden als UTF-8 behandelt
  • Unterstützt SAN (DNS und IP)
  • Erweiterungen: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Ausgabe: Zertifikat (DER .crt / PEM), privater Schlüssel (PKCS#8 PEM) sowie ein kombiniertes PEM-Bundle

Im CA-signierten Modus kannst du .crt (DER/PEM)- und .key (PKCS#8 PEM)-Dateien direkt laden. So bleibt ein internes Root-Zertifikat auf den Geräten installiert, während neue Serverzertifikate ohne erneutes Importieren erstellt werden. Die Verarbeitung erfolgt vollständig in deinem Browser (es werden keine Daten übertragen).

Profil

Subject / Issuer

Subject Alternative Name

Extensions

So baust du eine eigene Zertifikatskette

  1. Root-CA erstellen (Modus: Selbstsigniert, Profil: CA).
    Die erzeugte root.crt (DER) und private.key speichern.
  2. Serverzertifikat ausstellen (Modus: CA-signiert, Profil: Server).
    root.crt als CA-Zertifikat und private.key als CA-Schlüssel auswählen.
    Die gewünschten DNS/IP in SAN eintragen und auf Generieren klicken.
    Das erzeugte cert.crt (Server) sowie private.key (Server) verwenden.
  3. root.crt in die Vertrauensspeicher der Clients importieren (Firefox nutzt einen eigenen Store).
    Serverzertifikat und Schlüssel ausrollen, die Kette bei Bedarf mitgeben.

Hinweise

  • Wenn du das CA-Flag (basicConstraints=CA) aktivierst, muss auch keyUsage keyCertSign gesetzt sein.
  • Den privaten Schlüssel der Root-CA offline aufbewahren.
  • Verschlüsselte PKCS#8 (BEGIN ENCRYPTED PRIVATE KEY) werden nicht unterstützt.

Die Verarbeitung erfolgt vollständig in deinem Browser; es werden keine Daten übertragen.