X.509 証明書ジェネレーター(自己署名/CA 署名, ファイル読込対応)
このツールについて
ブラウザ(Web Crypto API)だけで RSA 鍵を生成し、自己署名証明書と、既存の CA 秘密鍵で署名するCA 署名証明書を作成します。
- 鍵種別: RSA 2048 / 3072(RSASSA-PKCS1-v1_5 + SHA-256)
- Subject(CN, O, OU, C, ST, L)は UTF-8
- SAN(DNS, IP)対応
- 拡張: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
- 出力: 証明書(DER .crt / PEM)、秘密鍵(PKCS#8 PEM)、まとめ(PEM)
CA 署名モードで .crt(DER/PEM) や .key(PKCS#8 PEM) をファイルから直接読み込みできます。これによりオレオレルート証明書を社内PCにRoot証明書としてインストールしておき、各サーバの証明書は個別のインストール不要で作成する等といった事も可能です。処理はすべてブラウザ内で行われます(データは送信されません)。
プロファイル
Subject / Issuer
Subject Alternative Name
Extensions
CA 署名モードの入力
出力
Serial / Fingerprint
Certificate (PEM)
Private Key (PKCS#8 PEM)
手順:オレオレ証明書ツリーの作成
- ルート CA を作成(モード: 自己署名、プロファイル: CA)。
出力したroot.crt(DER)とprivate.keyを保存します。 - サーバ証明書を発行(モード: CAで署名、プロファイル: Server)。
「CA 証明書ファイル」にroot.crtを、「CA 秘密鍵ファイル」にprivate.keyを選択します。
SAN に対象の DNS/IP を入れて「生成」。
出力のcert.crt(サーバ)とprivate.key(サーバ)を利用します。 - クライアントには
root.crtを信頼ストアへインポート(Firefox は独自ストア)。
サーバにはサーバ証明書+サーバ秘密鍵を配置し、必要に応じてチェーンを同梱します。
注意事項
- CA フラグ(basicConstraints=CA)は keyUsage の keyCertSign と併用します。
- ルート CA の秘密鍵はオフライン保管が原則です。
- 暗号化 PKCS#8(BEGIN ENCRYPTED PRIVATE KEY)は未対応です。