X.509 प्रमाणपत्र जेनरेटर (स्व-हस्ताक्षरित / CA हस्ताक्षरित, फ़ाइल इनपुट)
इस टूल के बारे में
ब्राउज़र (Web Crypto API) में ही RSA कुंजियाँ जनरेट करें और मौजूदा CA निजी कुंजी का उपयोग करके स्व-हस्ताक्षरित प्रमाणपत्र तथा CA हस्ताक्षरित प्रमाणपत्र जारी करें।
- कुंजी प्रकार: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
- Subject फ़ील्ड (CN, O, OU, C, ST, L) UTF-8 में हैं
- SAN (DNS और IP) समर्थित
- एक्सटेंशन: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
- आउटपुट: प्रमाणपत्र (DER .crt / PEM), निजी कुंजी (PKCS#8 PEM), संयुक्त PEM बंडल
CA हस्ताक्षर मोड में आप .crt (DER/PEM) और .key (PKCS#8 PEM) फ़ाइलें सीधे लोड कर सकते हैं। इससे आप आंतरिक रूट प्रमाणपत्र को डिवाइस पर स्थापित रखते हुए सर्वर प्रमाणपत्र जारी कर सकते हैं, बिना कुंजी दोबारा आयात किए। पूरी प्रक्रिया आपके ब्राउज़र में ही होती है; कोई डेटा प्रेषित नहीं किया जाता।
प्रोफाइल
Subject / Issuer (विषय / जारीकर्ता)
Subject Alternative Name
Extensions (विस्तार)
CA हस्ताक्षर मोड के लिए इनपुट
आउटपुट
सीरियल / फ़िंगरप्रिंट
प्रमाणपत्र (PEM)
निजी कुंजी (PKCS#8 PEM)
प्राइवेट प्रमाणपत्र श्रृंखला कैसे बनाएँ
- रूट CA बनाएँ (मोड: स्व-हस्ताक्षरित, प्रोफाइल: CA)।
जनरेट किए गएroot.crt(DER) औरprivate.keyसहेजें। - सर्वर प्रमाणपत्र जारी करें (मोड: CA हस्ताक्षरित, प्रोफाइल: Server)।
root.crtको CA प्रमाणपत्र औरprivate.keyको CA कुंजी के रूप में चुनें।
लक्ष्य DNS/IP को SAN में जोड़ें और “जनरेट करें” दबाएँ।
परिणामीcert.crt(सर्वर) औरprivate.key(सर्वर) का उपयोग करें। root.crtको क्लाइंट ट्रस्ट स्टोर्स में इम्पोर्ट करें (Firefox अपना अलग स्टोर उपयोग करता है)।
सर्वर प्रमाणपत्र और कुंजी को परिनियोजित करें, आवश्यकता हो तो श्रृंखला को साथ में शामिल करें।
सावधानियाँ
- CA फ़्लैग (basicConstraints=CA) सक्षम करते समय keyUsage का keyCertSign भी सक्षम करें।
- रूट CA की निजी कुंजी को ऑफ़लाइन रखें।
- Encrypted PKCS#8 (BEGIN ENCRYPTED PRIVATE KEY) समर्थित नहीं है।
सारी प्रक्रिया आपके ब्राउज़र में ही होती है; कोई डेटा प्रेषित नहीं होता।