X.509 tanúsítvány generátor (önaláírt / CA aláírt, fájlbeolvasással)

Erről az eszközről

A böngésző (Web Crypto API) segítségével RSA kulcsokat generál, majd önaláírt tanúsítványt vagy meglévő CA privát kulccsal CA által aláírt tanúsítványt készít.

  • Kulcstípusok: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Subject mezők (CN, O, OU, C, ST, L) UTF-8 kódolásúak
  • SAN (DNS, IP) támogatás
  • Kiterjesztések: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Kimenet: tanúsítvány (DER .crt / PEM), privát kulcs (PKCS#8 PEM), kombinált PEM

CA aláírás módban a .crt (DER/PEM) és .key (PKCS#8 PEM) fájlok közvetlenül beolvashatók. Így például egy belső root tanúsítványt telepíthet a vállalati gépekre, majd a kiszolgálói tanúsítványokat egyenként, további telepítés nélkül hozhatja létre. A feldolgozás teljes egészében a böngészőben történik (nem küldünk adatot).

Profil

Subject / Issuer

Subject Alternative Name

Kiterjesztések

Lépések: saját tanúsítványfa létrehozása

  1. Root CA létrehozása (mód: önaláírt, profil: CA).
    Mentse a root.crt (DER) és private.key fájlokat.
  2. Szerver tanúsítvány kibocsátása (mód: CA aláír, profil: Server).
    A „CA tanúsítvány fájl”-nál válassza ki a root.crt-t, a „CA privát kulcs fájl”-nál a private.key-t.
    Adja meg a DNS/IP értékeket a SAN mezőben, majd kattintson a „Generálás” gombra.
    Használja a kimeneti cert.crt (szerver) és private.key (szerver) fájlokat.
  3. A klienseken importálja a root.crt-t a megbízható tárba (Firefox saját tárolót használ).
    A szerveren telepítse a szerver tanúsítványt + privát kulcsot, szükség esetén csatolja a láncot.

Figyelmeztetések

  • A CA jelölőt (basicConstraints=CA) használja együtt a keyUsage keyCertSign opcióval.
  • A root CA privát kulcsát célszerű offline módon őrizni.
  • Titkosított PKCS#8 (BEGIN ENCRYPTED PRIVATE KEY) nem támogatott.