Générateur de certificats X.509 (auto-signé / signé par une AC, lecture de fichiers)

À propos de cet outil

Générez des clés RSA via le Web Crypto API directement dans le navigateur et créez un certificat auto-signé ou un certificat signé par une AC existante.

  • Types de clés : RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Subject (CN, O, OU, C, ST, L) encodé en UTF-8
  • Compatibilité SAN (DNS, IP)
  • Extensions : basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Sorties : certificat (DER .crt / PEM), clé privée (PKCS#8 PEM), bundle PEM

En mode signature AC, vous pouvez charger directement des fichiers .crt (DER/PEM) et .key (PKCS#8 PEM). Vous pouvez ainsi installer un certificat racine interne sur les PC de l'entreprise comme autorité de confiance et générer les certificats serveurs sans installation supplémentaire. Tous les traitements s'exécutent dans votre navigateur (aucune donnée n'est envoyée).

Profil

Subject / Issuer

Subject Alternative Name

Extensions

Procédure : construire votre hiérarchie de certificats

  1. Créer la racine AC (mode : Auto-signé, profil : CA).
    Sauvegardez root.crt (DER) et private.key.
  2. Délivrer le certificat serveur (mode : Signé par AC, profil : Server).
    Dans « Certificat AC », sélectionnez root.crt et dans « Clé privée AC », private.key.
    Ajoutez les DNS/IP souhaités dans le SAN puis cliquez sur « Générer ».
    Utilisez cert.crt (serveur) et private.key (serveur) générés.
  3. Installez root.crt dans le magasin de confiance des clients (Firefox possède un magasin distinct).
    Placez le certificat serveur + clé privée sur le serveur et ajoutez la chaîne si nécessaire.

Points d'attention

  • Activez l'option CA (basicConstraints=CA) en combinaison avec keyUsage=keyCertSign.
  • La clé privée de la racine AC doit rester hors ligne.
  • Les PKCS#8 chiffrés (BEGIN ENCRYPTED PRIVATE KEY) ne sont pas pris en charge.