مولّد CSR

أنشئ طلبات توقيع الشهادات PKCS#10 مباشرةً في متصفحك. أنشئ مفتاحاً جديداً أو استورد مفتاحاً خاصاً موجوداً بصيغة PKCS#8، واملأ حقلَي Subject وSAN، ثم حمِّل ملف CSR.

خيارات الطلب
حدِّد المفتاح وحقول Subject وإدخالات SAN التي ستُدرَج في طلب توقيع الشهادة.

Subject (Distinguished Name)

جميع الحقول اختيارية، غير أن معظم جهات CA تتوقع على الأقل وجود Common Name.

Subject Alternative Names

إدخال واحد في كل سطر أو مفصولة بفواصل. اترك القسم فارغاً لحذفه.

CSR المُنشأ
انسخ طلب توقيع الشهادة أو حمِّله، وكذلك المفتاح الخاص المُنشأ إن كان جديداً.
لم يُنشأ أي CSR بعد
املأ النموذج واضغط «إنشاء CSR» لإنشاء الطلب.

ما هو CSR؟

طلب توقيع الشهادة (CSR) هو مستند PKCS#10 صغير تحتاجه جهة إصدار الشهادات (CA) لإصدار شهادة TLS أو شهادة توقيع الشيفرة. يجمع هذا المستند النصف العام من زوج المفاتيح، والهوية التي تريد من CA التحقق منها (Subject)، وأي معرِّفات إضافية كأسماء DNS أو عناوين IP (Subject Alternative Names أو SAN)، وكل ذلك موقَّع بالمفتاح الخاص المطابق.

تبني هذه الأداة ملف CSR بالكامل داخل متصفحك باستخدام Web Crypto API و@peculiar/x509. لا يُرسَل أي شيء يتعلق بمفتاحك أو طلبك إلى أي خادم.

متى تستخدم هذه الأداة

  • طلب شهادة TLS من CA عامة (Let’s Encrypt أو DigiCert أو ZeroSSL أو Sectigo وغيرها) عندما تطلب منك لصق ملف CSR خاص بك.
  • إنشاء CSR لجهة إصدار شهادات داخلية — ACME أو smallstep أو EJBCA أو AD CS — دون الحاجة إلى الوثوق بنموذج مستضاف.
  • إعادة إصدار شهادة بنفس المفتاح الخاص عبر استيراد مفتاح PKCS#8 PEM موجود وتوقيع ملف CSR جديد فحسب.

كيفية ملء النموذج

  • مصدر المفتاح — اختر إنشاء مفتاح جديد لإنشاء زوج مفاتيح جديد، أو استيراد مفتاح موجود للصق مفتاح خاص غير مشفَّر بصيغة PKCS#8 PEM. لا تُقبل المفاتيح المشفَّرة أو كتل RSA PRIVATE KEY وEC PRIVATE KEY القديمة؛ حوِّلها أولاً باستخدام openssl pkcs8 -topk8 -nocrypt.
  • الخوارزمية — RSA هي الخيار الأوسع توافقاً. تُنتج ECDSA توقيعات أصغر وتحظى بدعم واسع من CAs الحديثة وعملاء TLS.
  • Subject — تتجاهل معظم CAs العامة كل شيء سوى Common Name وتعتمد قائمة DNS في SAN مرجعاً، غير أن CAs الخاصة قد تحتاج إلى DN كاملة.
  • إدخالات SAN — أدرج أسماء المضيف وعناوين IP والبريد الإلكتروني أو URIs التي تريد أن تشملها الشهادة. إدخال واحد في كل سطر أو مفصولة بفواصل.

ما ينبغي مراعاته

  • المفتاح الخاص الظاهر إلى جانب CSR يُنشأ محلياً ولا يغادر متصفحك أبداً. احفظه قبل إغلاق علامة التبويب — فبدون المفتاح الخاص المطابق تصبح الشهادة الموقَّعة غير قابلة للاستخدام.
  • تشترط CAs العامة أن يكون Common Name (أو إدخال SAN واحد على الأقل) اسم DNS قابلاً للتحقق. إدخالات SAN بعناوين IP مفيدة في الغالب للشهادات الداخلية.
  • المفتاح الخاص المُنشأ غير مشفَّر. أضف عبارة مرور باستخدام openssl pkcs8 -in key.pem -topk8 -out key-enc.pem إذا احتجت إلى ذلك قبل تخزينه.
  • يُدعم فقط RSA (2048/3072/4096) وECDSA (P-256/P-384/P-521). تم استثناء EdDSA عمداً لأن توافقها عبر المتصفحات وجهات CA لا يزال غير متسق.