Generator de certificate X.509 (auto-semnat / semnat de AC cu încărcare de fișiere)

Despre acest instrument

Generează chei RSA complet în browser (Web Crypto API) pentru a emite certificate auto-semnate și certificate semnate de AC folosind o cheie privată de AC existentă.

  • Tipuri de chei: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Câmpurile Subject (CN, O, OU, C, ST, L) sunt în UTF-8
  • Suportă SAN (DNS și IP)
  • Extensii: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Ieșiri: certificatul (DER .crt / PEM), cheia privată (PKCS#8 PEM), bundle PEM combinat

În modul semnat de AC poți încărca direct fișiere .crt (DER/PEM) și .key (PKCS#8 PEM). Astfel păstrezi instalat pe dispozitive certificatul rădăcină intern în timp ce emiți certificate de server fără să reimportezi cheile. Toată procesarea are loc exclusiv în browserul tău; nu se transmite nicio dată.

Profil

Subiect / Emitent

Subject Alternative Name

Extensii

Cum să construiești un lanț privat de certificate

  1. Creează AC-ul rădăcină (Mod: Auto-semnat, Profil: CA).
    Salvează root.crt (DER) și private.key generate.
  2. Emite certificatul de server (Mod: Semnat de AC, Profil: Server).
    Selectează root.crt ca certificat AC și private.key ca cheie AC.
    Adaugă DNS/IP-ul țintă în SAN și apasă Generează.
    Folosește cert.crt (server) și private.key (server) generate.
  3. Importă root.crt în magazinul de încredere al clienților (Firefox folosește propriul magazin).
    Distribuie certificatul și cheia serverului, împreună cu lanțul dacă este necesar.

Atenționări

  • Când activezi flag-ul de CA (basicConstraints=CA), activează și keyUsage keyCertSign.
  • Păstrează offline cheia privată a AC-ului rădăcină.
  • PKCS#8 criptat (BEGIN ENCRYPTED PRIVATE KEY) nu este suportat.

Toată procesarea are loc exclusiv în browserul tău; nu se transmite nicio dată.