Gerador de certificados X.509 (autossinados / assinados por AC, suporte a leitura de arquivos)

Sobre esta ferramenta

Gera chaves RSA diretamente no navegador (Web Crypto API) para emitir certificados autossinados e certificados assinados por uma AC usando uma chave privada de AC existente.

  • Tipos de chave: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Campos Subject (CN, O, OU, C, ST, L) usam UTF-8
  • Compatível com SAN (DNS e IP)
  • Extensões: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Saída: certificado (DER .crt / PEM), chave privada (PKCS#8 PEM), pacote combinado (PEM)

No modo assinado por AC é possível carregar arquivos .crt (DER/PEM) e .key (PKCS#8 PEM) diretamente. Assim você pode manter um certificado raiz interno instalado nos dispositivos e emitir certificados de servidor sem importar chaves novamente. Todo o processamento ocorre somente no seu navegador (nenhum dado é enviado).

Perfil

Sujeito / Emissor

Nome alternativo do sujeito

Extensões

Como montar uma cadeia de certificados própria

  1. Crie a AC raiz (Modo: Autossinado, Perfil: AC).
    Salve root.crt (DER) e private.key.
  2. Emita o certificado do servidor (Modo: Assinado por AC, Perfil: Servidor).
    Selecione root.crt em “Arquivo de certificado da AC” e private.key em “Arquivo de chave privada da AC”.
    Informe os DNS/IP desejados em SAN e clique em “Gerar”.
    Utilize cert.crt (servidor) e private.key (servidor).
  3. Importe root.crt nos repositórios de confiança dos clientes (o Firefox usa o seu próprio).
    Instale no servidor o certificado e a chave privada, incluindo a cadeia se necessário.

Avisos

  • Ao ativar o sinalizador de AC (basicConstraints=CA), habilite também keyUsage keyCertSign.
  • Mantenha a chave privada da AC raiz offline.
  • PKCS#8 criptografado (BEGIN ENCRYPTED PRIVATE KEY) não é suportado.