Generador de certificados X.509 (autofirmados / firmados por CA, compatible con lectura de archivos)

Acerca de esta herramienta

Genera claves RSA directamente en el navegador (Web Crypto API) para emitir certificados autofirmados y certificados firmados por una CA utilizando una clave privada de CA existente.

  • Tipos de clave: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Los campos Subject (CN, O, OU, C, ST, L) usan UTF-8
  • Compatible con SAN (DNS, IP)
  • Extensiones: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Salidas: certificado (DER .crt / PEM), clave privada (PKCS#8 PEM), paquete combinado (PEM)

En el modo firmado por CA puedes cargar archivos .crt (DER/PEM) y .key (PKCS#8 PEM) directamente desde archivos. Así puedes instalar un certificado raíz propio en los equipos internos y emitir certificados de servidor sin reinstalarlos de forma manual. Todo el procesamiento se realiza en tu navegador (no se envían datos).

Perfil

Subject / Issuer

Subject Alternative Name

Extensions

Pasos: crear una cadena de certificados propia

  1. Crea la CA raíz (Modo: Autofirmado, Perfil: CA).
    Guarda los archivos generados root.crt (DER) y private.key.
  2. Emite el certificado del servidor (Modo: Firmado por CA, Perfil: Servidor).
    Selecciona root.crt en «Archivo de certificado de CA» y private.key en «Archivo de clave privada de CA».
    Añade los DNS/IP correspondientes en SAN y pulsa «Generar».
    Usa el cert.crt resultante (servidor) y el private.key del servidor.
  3. En los clientes, importa root.crt en el almacén de confianza (Firefox utiliza su propio almacén).
    En el servidor, instala el certificado y la clave privada del servidor e incluye la cadena si es necesario.

Notas

  • Cuando habilites la marca CA (basicConstraints=CA), actívala junto con keyUsage keyCertSign.
  • Mantén la clave privada de la CA raíz desconectada.
  • PKCS#8 cifrado (BEGIN ENCRYPTED PRIVATE KEY) no es compatible.