X.509 憑證產生器（自簽名 / CA 簽名，支援檔案讀取）

關於此工具

在瀏覽器（Web Crypto API）中產生 RSA 金鑰，以建立自簽名憑證以及使用既有 CA 私鑰簽署的CA 簽名憑證。

金鑰類型：RSA 2048 / 3072（RSASSA-PKCS1-v1_5 + SHA-256）
Subject（CN、O、OU、C、ST、L）欄位使用 UTF-8
支援 SAN（DNS、IP）
擴充功能：basicConstraints / keyUsage / extendedKeyUsage / SubjectKeyIdentifier / AuthorityKeyIdentifier
輸出：憑證（DER .crt / PEM）、私鑰（PKCS#8 PEM）、合併 PEM

在 CA 簽名模式下，可以直接從檔案讀取 .crt（DER/PEM） 與 .key（PKCS#8 PEM）。如此可預先在內部裝置安裝自有根憑證，在簽發各伺服器憑證時便無需重新匯入金鑰。所有處理皆在瀏覽器內完成（不會傳送任何資料）。

模式

自簽名由 CA 簽名

金鑰類型

有效期限（天）

設定檔

伺服器 TLS 用戶端 CA

主體 / 發行者

CN (Common Name)

O (Organization)

OU (Org Unit)

C (Country)

ST (State/Province)

L (Locality)

主體替代名稱

DNS 名稱（以逗號分隔）

IP 位址（以逗號分隔）

擴充功能

basicConstraints CA

keyUsage

digitalSignature keyEncipherment keyCertSign cRLSign

extendedKeyUsage

serverAuth clientAuth

輸出

序號 / 指紋

憑證（PEM）

私鑰（PKCS#8 PEM）

建立自有憑證鏈的步驟

建立根 CA（模式：自簽名，設定檔：CA）。
儲存產生的 root.crt（DER）與 private.key。
簽發伺服器憑證（模式：由 CA 簽名，設定檔：伺服器）。
在「CA 憑證檔」選擇 root.crt，在「CA 私鑰檔」選擇 private.key。
在 SAN 填入目標 DNS/IP 並點擊「產生」。
使用產出的 cert.crt（伺服器）與 private.key（伺服器）。
在用戶端將 root.crt 匯入信任儲存（Firefox 使用獨立儲存）。
在伺服器部署伺服器憑證與私鑰，必要時附上鏈。

注意事項

啟用 CA 旗標（basicConstraints=CA）時，也要啟用 keyUsage 的 keyCertSign。
根 CA 私鑰應離線保管。
不支援加密的 PKCS#8（BEGIN ENCRYPTED PRIVATE KEY）。