Generuj CSR

Tworzy parę klucz + CSR w Twojej przeglądarce. Klucz NIGDY nie trafia na serwer.

100% w przeglądarce — klucz prywatny NIGDY nie trafia na serwer

Common Name (domena) *

Główna domena dla certyfikatu. Dla wildcard użyj *.example.com.

Subject Alternative Names (SAN) — dodatkowe domeny

Po jednej domenie w linii. CN zostanie automatycznie dodany na pierwsze miejsce listy SAN.

Country (C) — 2 litery

Organization (O)

State (ST) — województwo

Locality (L) — miasto

Organizational Unit (OU)

E-mail

Algorytm klucza *

RSA

Standard branżowy. Kompatybilny ze wszystkim. Wolniejszy handshake.

ECDSA SZYBKI

Krzywe eliptyczne. 2-4× szybszy handshake TLS, krótsze klucze.

Rozmiar klucza RSA

Krzywa eliptyczna

Błąd generowania CSR

CSR wygenerowany pomyślnie

· · Klucz NIE opuścił przeglądarki

CSR (Certificate Signing Request)

Klucz prywatny — TRZYMAJ W TAJEMNICY

Zachowaj ten klucz w bezpiecznym miejscu i nie wysyłaj go nikomu (nawet do urzędu certyfikacji). Jeśli go zgubisz, certyfikat stanie się bezużyteczny. Plik .key powinien mieć uprawnienia chmod 600.

Co dalej?

1
Zachowaj klucz prywatny w bezpiecznym miejscu (np. /etc/ssl/private/ z chmod 600).
2
Wyślij CSR do urzędu certyfikacji — w sklepie Certum, DigiCert, Sectigo lub Let's Encrypt podczas zamawiania certyfikatu.
3
Po otrzymaniu certyfikatu — sprawdź dopasowanie używając naszego narzędzia Dopasuj klucz i cert.
4
Zainstaluj parę klucz + cert na serwerze (Apache, Nginx, IIS itp.).

Dlaczego generować CSR offline w przeglądarce?

Większość generatorów CSR online działa po stronie serwera — to znaczy, że Twój klucz prywatny jest tworzony i może być przechwycony na serwerze dostawcy. Nasz generator jest inny: cała operacja odbywa się w Twojej przeglądarce, używając natywnego Web Crypto API. Klucz prywatny jest tworzony lokalnie, nigdy nie opuszcza Twojego komputera. To bezpieczeństwo na poziomie używania openssl w terminalu — z wygodą prostego formularza.

Maksymalne bezpieczeństwo

Klucz prywatny powstaje w pamięci RAM przeglądarki i nie trafia na żaden serwer.

Bez instalacji openssl

Nie musisz mieć Linux, znajomości terminalu, ani konfigurowania openssl.

Wsparcie EC (krzywe eliptyczne)

P-256 / P-384 / P-521 — szybsze i nowocześniejsze niż RSA.

Wszystkie nowoczesne CA

Wygenerowany CSR akceptują Certum, DigiCert, Sectigo, GlobalSign, Let's Encrypt.

Jak działa generator — 4 kroki

Cała operacja zajmuje od 100 ms (EC P-256) do 10 sekund (RSA 4096), zależnie od wybranego algorytmu.

Krok 1

Wpisz dane

Common Name (Twoja domena), opcjonalnie SAN-y i dane firmy. Wybierz algorytm — RSA 2048 (standard) lub EC P-256 (nowoczesny).

Krok 2

Generowanie

Web Crypto API tworzy parę klucz publiczny + prywatny lokalnie. Następnie buduje strukturę CSR (X.509) i podpisuje ją Twoim kluczem.

Krok 3

Pobierz pliki

Otrzymasz 2 pliki PEM — CSR (do wysłania CA) i klucz prywatny (zachowaj go!). Możesz pobrać lub skopiować.

Krok 4

Wyślij do CA

Skopiuj CSR i wklej w panelu zamawiania certyfikatu (Certum, DigiCert). CA wystawi certyfikat i odeśle go Tobie.

RSA czy EC (krzywe eliptyczne) — który algorytm wybrać?

Oba są bezpieczne i akceptowane przez wszystkie nowoczesne urzędy certyfikacji. Wybór zależy od Twoich priorytetów.

RSA

Klasyka — sprawdzona od 1977 roku

Klasyczny algorytm asymetryczny oparty o problem faktoryzacji dużych liczb pierwszych. Wspierany przez 100% systemów, urządzeń sieciowych i przeglądarek.

Maksymalna kompatybilność — działa wszędzie, nawet w starych systemach

Najpopularniejszy w Polsce — Certum, banki, podpisy kwalifikowane

Wolniejszy handshake TLS — szczególnie dla 4096 bit

Większe klucze — 2048 bit = 256 bajtów

Wybierz RSA jeśli: potrzebujesz kompatybilności wstecz, instalujesz na starszym serwerze, bank lub instytucja wymaga RSA explicite.

Rekomendowane

Krzywe eliptyczne — nowy standard

Algorytm oparty o krzywe eliptyczne nad ciałem skończonym. Standaryzowany przez NIST. Domyślny wybór nowoczesnej infrastruktury (Cloudflare, Google).

2-4× szybszy handshake TLS — odczuwalne przyspieszenie strony

Krótsze klucze przy tym samym bezp. — P-256 ≈ RSA 3072

Niższe zużycie CPU — kluczowe dla mobile, IoT, wysokoskalujących

Generowanie klucza ~10× szybsze — <100 ms vs ~1 s dla RSA 2048

Wybierz EC jeśli: chcesz najszybszą stronę, infrastruktura nowoczesna (Linux + Apache 2.4+ / Nginx 1.10+), nie musisz wspierać IE 8 lub Java 6.

Algorytm	Bezpieczeństwo (równoważne)	Czas generowania	Typowe zastosowanie
RSA 2048	112 bit / standard	~1 s	Kompatybilność, certyfikaty SSL
RSA 3072	128 bit / wyższe	~3 s	Korporacje, bankowość
RSA 4096	152 bit / maksymalne	~10 s	Root CA, kwalifikowane
EC P-256	128 bit / wysokie	<100 ms	Domyślne dla nowych systemów
EC P-384	192 bit / bardzo wysokie	~200 ms	EV, instytucje rządowe
EC P-521	256 bit / maksymalne	~500 ms	Top secret, kryptografia wojskowa

Najczęściej zadawane pytania

Czy mój klucz prywatny rzeczywiście NIE trafia na Wasz serwer?

Nie trafia — i nie ma takiej możliwości technicznej. Generator używa wyłącznie JavaScript w Twojej przeglądarce + natywne Web Crypto API. Możesz to zweryfikować otwierając DevTools (F12) → zakładka "Network" przed kliknięciem "Generuj". Po kliknięciu zobaczysz, że nie wysyłają się żadne requesty zawierające klucz. Cały kod jest też do wglądu — kliknij "View Page Source" lub sprawdź /static/js/vendor/pkijs-bundle.min.js.

Czym różni się RSA 2048 od EC P-256?

EC P-256 oferuje wyższe bezpieczeństwo (128 bit) niż RSA 2048 (112 bit), przy znacznie szybszym handshake TLS i mniejszym kluczu (256 vs 2048 bit). EC bazuje na innym problemie matematycznym (krzywe eliptyczne) i jest nowocześniejszą alternatywą. Wszystkie aktualne CA wspierają EC. Jeśli nie masz konkretnych powodów aby trzymać się RSA — wybierz EC P-256.

Czy Certum / DigiCert / Let's Encrypt akceptują CSR z kluczem EC?

Tak, wszystkie — od kilku lat EC jest standardowo wspierane. Certum, DigiCert, Sectigo, GlobalSign, Let's Encrypt i pozostałe duże CA bez problemu wystawią certyfikat na podstawie CSR z kluczem ECDSA P-256 lub P-384. Cloudflare wręcz domyślnie używa EC dla swoich klientów. Jedyne wyjątki to bardzo stare urządzenia sieciowe (sprzed 2015) i niektóre kwalifikowane podpisy elektroniczne — tam może być wymagane RSA.

Co zrobić jeśli wygeneruję CSR i zapomnę zapisać klucza prywatnego?

Zostaje Ci tylko jedna opcja: wygenerować nowy CSR od zera. Klucz prywatny żyje wyłącznie w pamięci RAM przeglądarki — gdy zamkniesz kartę lub odświeżysz stronę, jest bezpowrotnie tracony. Nikt nie może go odzyskać, nawet my (bo nigdy go nie widzieliśmy). Dlatego: od razu po wygenerowaniu kliknij "Pobierz .key" i zachowaj plik w bezpiecznym miejscu. Idealnie z backupem (np. szyfrowany USB, menedżer haseł).

Jaki format ma wygenerowany klucz prywatny?

Klucz jest w formacie PKCS#8 PEM (nagłówki -----BEGIN PRIVATE KEY-----). To uniwersalny standard akceptowany przez Apache, Nginx, Java, OpenSSL i większość innych narzędzi. Nie szyfrujemy klucza hasłem — jeśli chcesz dodać hasło, użyj openssl: openssl pkcs8 -in key.pem -topk8 -out encrypted.pem.

Czy mogę wygenerować CSR dla certyfikatu wildcard (*.example.com)?

Tak. W polu Common Name wpisz *.example.com. To pokryje wszystkie subdomeny pierwszego poziomu (mail.example.com, www.example.com, app.example.com), ale nie głębsze (foo.bar.example.com) ani głównej domeny (example.com). Jeśli chcesz pokryć też main domain, dodaj ją w polu SAN: example.com.

Czy generator działa offline (po pierwszym załadowaniu)?

Tak — po pierwszym załadowaniu strony i bibliotek, możesz odłączyć internet. Generowanie CSR działa w 100% lokalnie. To dodatkowa warstwa bezpieczeństwa: jeśli chcesz absolutnej pewności że nic nie wysyłasz, odłącz Wi-Fi przed kliknięciem "Generuj". Po wygenerowaniu możesz wrócić do połączenia.

Jak wygenerować to samo używając openssl w terminalu?

Dla RSA 2048:

$ openssl req -new -newkey rsa:2048 -nodes \
    -keyout key.pem -out csr.pem \
    -subj "/CN=example.com/O=Firma Sp z o.o./C=PL"

Dla EC P-256:

$ openssl ecparam -name prime256v1 -genkey -noout -out key.pem
$ openssl req -new -key key.pem -out csr.pem \
    -subj "/CN=example.com/O=Firma Sp z o.o./C=PL"

Bezpieczeństwo na poziomie openssl — bez instalacji

To narzędzie zostało zaprojektowane z jednym głównym priorytetem: klucz prywatny nigdy nie ma prawa opuścić Twojej przeglądarki. Wszystkie inne funkcje są pod-rzędne tej zasadzie:

Generowanie 100% w przeglądarce — natywne window.crypto.subtle Web Crypto API.
Brak komunikacji z naszym serwerem — możesz odłączyć internet po załadowaniu strony.
Biblioteka PKI.js hostowana lokalnie — żadnych zewnętrznych CDN, tylko nasz serwer (kontrola integralności).
Klucz w pamięci RAM — po zamknięciu/odświeżeniu karty jest bezpowrotnie tracony.
Możesz zweryfikować — DevTools (F12) → Network → kliknij "Generuj" → zero requestów wychodzących z kluczem.
Algorytm zgodny z openssl — wygenerowany CSR i klucz są w 100% kompatybilne ze standardami PKCS.