CSR जनरेटर

अपने ब्राउज़र में PKCS#10 सर्टिफिकेट साइनिंग रिक्वेस्ट जनरेट करें। नई key बनाएं या मौजूदा PKCS#8 प्राइवेट key इम्पोर्ट करें, Subject और SAN भरें, फिर CSR डाउनलोड करें।

रिक्वेस्ट विकल्प
सर्टिफिकेट साइनिंग रिक्वेस्ट में जाने वाले key, subject और SAN एंट्री सेट करें।

Subject (Distinguished Name)

सभी फ़ील्ड वैकल्पिक हैं, लेकिन अधिकांश CA कम से कम Common Name की उम्मीद करते हैं।

Subject Alternative Names

प्रति पंक्ति एक एंट्री या कॉमा से अलग करें। किसी अनुभाग को छोड़ने के लिए उसे खाली रखें।

जनरेट किया गया CSR
सर्टिफिकेट साइनिंग रिक्वेस्ट कॉपी या डाउनलोड करें, और यदि नई key बनाई गई हो तो जनरेट की गई प्राइवेट key भी।
अभी तक कोई CSR जनरेट नहीं हुआ
फ़ॉर्म भरें और रिक्वेस्ट बनाने के लिए CSR जनरेट करें चुनें।

CSR क्या है?

Certificate Signing Request (CSR) एक छोटा PKCS#10 दस्तावेज़ है जिसकी certificate authority (CA) को TLS या कोड-साइनिंग सर्टिफिकेट जारी करने के लिए आवश्यकता होती है। यह एक key pair के सार्वजनिक हिस्से, वह पहचान जिसे आप CA से प्रमाणित कराना चाहते हैं (Subject), और DNS नाम या IP पते जैसे अतिरिक्त पहचानकर्ताओं (Subject Alternative Names, या SAN) को एक साथ बंडल करता है, जिसे संबंधित प्राइवेट key से साइन किया जाता है।

यह टूल आपके ब्राउज़र में Web Crypto API और @peculiar/x509 का उपयोग करके CSR पूरी तरह से बनाता है। आपकी key या आपकी रिक्वेस्ट के बारे में कुछ भी किसी सर्वर को नहीं भेजा जाता।

इस टूल का उपयोग कब करें

  • किसी सार्वजनिक CA (Let’s Encrypt, DigiCert, ZeroSSL, Sectigo, आदि) से TLS सर्टिफिकेट के लिए रिक्वेस्ट करें जब उनका वर्कफ़्लो आपसे अपना CSR पेस्ट करने के लिए कहे।
  • किसी आंतरिक certificate authority — ACME-based, smallstep, EJBCA, AD CS — के लिए किसी होस्टेड फॉर्म पर भरोसा किए बिना CSR जनरेट करें।
  • मौजूदा PKCS#8 PEM key इम्पोर्ट करके और केवल नया CSR साइन करके उसी प्राइवेट key के साथ सर्टिफिकेट पुनः जारी करें।

फ़ॉर्म कैसे भरें

  • Key स्रोत — नया key pair बनाने के लिए नई बनाएं चुनें, या अनएन्क्रिप्टेड PKCS#8 PEM key पेस्ट करने के लिए मौजूदा इम्पोर्ट करें चुनें। एन्क्रिप्टेड key, पुराने RSA PRIVATE KEY, और EC PRIVATE KEY ब्लॉक स्वीकार नहीं किए जाते; पहले उन्हें openssl pkcs8 -topk8 -nocrypt से बदलें।
  • एल्गोरिदम — RSA सबसे व्यापक संगतता डिफ़ॉल्ट है। ECDSA छोटे सिग्नेचर देता है और आधुनिक CA तथा TLS क्लाइंट द्वारा व्यापक रूप से समर्थित है।
  • Subject — अधिकांश सार्वजनिक CA Common Name के अलावा बाकी सब कुछ अनदेखा करते हैं और DNS SAN सूची को प्रामाणिक मानते हैं, लेकिन निजी CA को अभी भी पूर्ण DN की आवश्यकता हो सकती है।
  • SAN एंट्री — वे hostname, IP, ईमेल पते, या URI सूचीबद्ध करें जिन्हें आप सर्टिफिकेट में शामिल कराना चाहते हैं। प्रति पंक्ति एक, या कॉमा से अलग करें।

ध्यान में रखने योग्य बातें

  • CSR के साथ दिखाई गई प्राइवेट key स्थानीय रूप से जनरेट होती है और आपके ब्राउज़र से बाहर कभी नहीं जाती। टैब बंद करने से पहले इसे सेव करें — मिलान करने वाली प्राइवेट key के बिना, साइन किया गया सर्टिफिकेट उपयोगी नहीं होगा।
  • सार्वजनिक CA को Common Name (या कम से कम एक SAN एंट्री) एक DNS नाम होने की आवश्यकता होती है जिसे वे वैलिडेट कर सकें। IP-address SAN अधिकतर आंतरिक सर्टिफिकेट के लिए उपयोगी होते हैं।
  • जनरेट की गई प्राइवेट key अनएन्क्रिप्टेड है। यदि संग्रहीत करने से पहले आपको पासफ्रेज़ की आवश्यकता हो तो openssl pkcs8 -in key.pem -topk8 -out key-enc.pem से पासफ्रेज़ जोड़ें।
  • केवल RSA (2048/3072/4096) और ECDSA (P-256/P-384/P-521) समर्थित हैं। EdDSA को जानबूझकर छोड़ा गया है क्योंकि ब्राउज़र और CA में इसकी स्वीकृति अभी भी असंगत है।