Генератор сертификатов X.509 (самоподписанные / подписанные ЦС, поддержка чтения файлов)

О инструменте

Генерирует ключи RSA прямо в браузере (Web Crypto API), чтобы выпускать самоподписанные сертификаты и сертификаты, подписанные ЦС с использованием существующего закрытого ключа ЦС.

  • Типы ключей: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Поля Subject (CN, O, OU, C, ST, L) используют UTF-8
  • Поддерживает SAN (DNS и IP)
  • Расширения: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Вывод: сертификат (DER .crt / PEM), закрытый ключ (PKCS#8 PEM), объединённый PEM

В режиме подписания ЦС можно напрямую загружать файлы .crt (DER/PEM) и .key (PKCS#8 PEM). Это позволяет установить внутренний корневой сертификат на устройствах и выпускать серверные сертификаты без повторного импорта ключей. Вся обработка выполняется целиком в вашем браузере (данные не отправляются).

Профиль

Субъект / Издатель

Альтернативное имя субъекта

Расширения

Как построить собственную цепочку сертификатов

  1. Создайте корневой ЦС (режим: Самоподписанный, профиль: ЦС).
    Сохраните root.crt (DER) и private.key.
  2. Выпустите серверный сертификат (режим: Подписанный ЦС, профиль: Сервер).
    Выберите root.crt в поле «Файл сертификата ЦС» и private.key в поле «Файл закрытого ключа ЦС».
    Добавьте нужные DNS/IP в SAN и нажмите «Создать».
    Используйте полученные cert.crt (сервер) и private.key (сервер).
  3. Импортируйте root.crt в доверенные хранилища клиентов (Firefox использует собственное).
    Разверните на сервере сертификат и закрытый ключ, при необходимости добавив цепочку.

Предупреждения

  • При включении флага CA (basicConstraints=CA) также активируйте keyUsage keyCertSign.
  • Храните закрытый ключ корневого ЦС офлайн.
  • Зашифрованный PKCS#8 (BEGIN ENCRYPTED PRIVATE KEY) не поддерживается.