מחולל תעודות X.509 (חתימה עצמית / חתימת CA עם קבצי קלט)
על הכלי הזה
צרו מפתחות RSA ישירות בדפדפן (Web Crypto API) כדי להנפיק תעודות חתומות עצמית ותעודות החתומות על ידי CA בעזרת מפתח פרטי קיים של ה-CA.
- סוגי מפתחות: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
- שדות Subject (CN, O, OU, C, ST, L) מקודדים ב־UTF-8
- תמיכה ב־SAN (שמות DNS וכתובות IP)
- הרחבות: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
- פלט: תעודה (DER .crt / PEM), מפתח פרטי (PKCS#8 PEM), צרור PEM משולב
במצב חתימת CA ניתן לטעון ישירות קבצי .crt (DER/PEM) ו.key (PKCS#8 PEM). כך ניתן להשאיר תעודת שורש פנימית מותקנת במכשירים ולהנפיק תעודות שרת ללא ייבוא חוזר של מפתחות. כל העיבוד מתבצע בדפדפן שלכם; לא נשלחים נתונים.
פרופיל
Subject / Issuer
Subject Alternative Name
Extensions
קלט למצב חתימת CA
פלט
מספר סידורי / טביעות אצבע
תעודה (PEM)
מפתח פרטי (PKCS#8 PEM)
איך להקים שרשרת תעודות פרטית
- צרו את ה-CA הראשי (מצב: חתימה עצמית, פרופיל: CA).
שמרו אתroot.crt(DER) ואתprivate.key. - הנפיקו את תעודת השרת (מצב: חתימת CA, פרופיל: שרת).
בחרו אתroot.crtכתעודת ה-CA ואתprivate.keyכמפתח ה-CA.
הוסיפו את שמות ה-DNS/כתובות ה-IP המבוקשים ל-SAN ולחצו על "יצירה".
השתמשו ב-cert.crt(שרת) וב-private.key(שרת) שהופקו. - ייבאו את
root.crtלאחסוני האמון של הלקוחות (Firefox משתמש באחסון משלו).
פרסו את תעודת השרת והמפתח, ובמידת הצורך צרפו את השרשרת.
אזהרות
- בעת הפעלת דגל ה-CA (basicConstraints=CA), הפעילו גם את keyUsage keyCertSign.
- השאירו את המפתח הפרטי של ה-CA הראשי במצב לא מקוון.
- PKCS#8 מוצפן (BEGIN ENCRYPTED PRIVATE KEY) אינו נתמך.
כל העיבוד מתרחש בדפדפן שלכם בלבד; נתונים אינם נשלחים.