Trình tạo chứng chỉ X.509 (tự ký / ký bởi CA, hỗ trợ đọc tệp)

Giới thiệu về công cụ này

Tạo khóa RSA ngay trong trình duyệt (Web Crypto API) để phát hành chứng chỉ tự kýchứng chỉ do CA ký bằng khóa riêng CA hiện có.

  • Loại khóa: RSA 2048 / 3072 (RSASSA-PKCS1-v1_5 + SHA-256)
  • Trường Subject (CN, O, OU, C, ST, L) sử dụng UTF-8
  • Hỗ trợ SAN (DNS, IP)
  • Mở rộng: basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
  • Đầu ra: chứng chỉ (DER .crt / PEM), khóa riêng (PKCS#8 PEM), gói PEM kết hợp

Ở chế độ ký bởi CA, bạn có thể tải trực tiếp tệp .crt (DER/PEM).key (PKCS#8 PEM). Điều này giúp duy trì chứng chỉ gốc nội bộ trên thiết bị, đồng thời phát hành chứng chỉ máy chủ mà không cần nhập lại khóa. Toàn bộ xử lý diễn ra trong trình duyệt của bạn (không gửi dữ liệu).

Hồ sơ

Đối tượng / Nhà phát hành

Tên thay thế của đối tượng

Mở rộng

Cách xây dựng chuỗi chứng chỉ nội bộ

  1. Tạo CA gốc (Chế độ: Tự ký, Hồ sơ: CA).
    Lưu root.crt (DER) và private.key.
  2. Cấp chứng chỉ máy chủ (Chế độ: Ký bởi CA, Hồ sơ: Máy chủ).
    Chọn root.crt tại “Tệp chứng chỉ CA” và private.key tại “Tệp khóa riêng CA”.
    Điền DNS/IP mục tiêu vào SAN rồi bấm “Tạo”.
    Sử dụng cert.crt (máy chủ) và private.key (máy chủ).
  3. Nhập root.crt vào kho tin cậy của máy khách (Firefox dùng kho riêng).
    Cài đặt chứng chỉ và khóa riêng lên máy chủ, kèm chuỗi nếu cần.

Lưu ý

  • Khi bật cờ CA (basicConstraints=CA), hãy bật thêm keyUsage keyCertSign.
  • Giữ khóa riêng của CA gốc ở trạng thái ngoại tuyến.
  • Không hỗ trợ PKCS#8 được mã hóa (BEGIN ENCRYPTED PRIVATE KEY).