RSA czy ECDSA, którą wybrać?

**ECDSA P-256** dla nowoczesnych serwerów (Nginx, Apache 2.4+, każdy nowy stack). Mniejsze klucze (256-bit vs RSA-2048), szybsze TLS, ten sam poziom bezpieczeństwa. **RSA 2048** dla starszych systemów (Windows Server 2008, embedded), kompatybilność uniwersalna. Let's Encrypt zaleca ECDSA dla nowych certyfikatów.

Co to SANs i czemu są ważne?

[[SANs||Subject Alternative Names]] to **dodatkowe domeny pokrywane przez certyfikat**. Bez SANs certyfikat działa tylko na CN (np. example.com). Aby objąć też www.example.com, api.example.com, dodaj je do SANs. **Standard w 2025**: każdy certyfikat ma listę SANs, sam CN to dziedzictwo SSL z lat 90.

Co to passphrase do klucza i dlaczego ją ustawić?

Klucz prywatny **zaszyfrowany passphrase** jest bezpieczny nawet jeśli plik wycieknie. Bez passphrase każdy z dostępem do pliku ma kontrolę nad domeną. **Trade-off**: serwer musi znać passphrase, by zainicjować TLS, czyli przy restarcie pyta o nią. Zwykle zostawiasz w pliku, więc ochrona jest słaba. **Dla serwera produkcyjnego** używa się raczej HSM albo Vault, nie passphrase.

Common Name to dziedzictwo, prawda?

Tak, **CN deprecated** w favor SANs od RFC 6125 (2011). Większość przeglądarek już ignoruje CN, sprawdza tylko SANs. Ale **CSR musi mieć CN** dla kompatybilności (CA tego oczekuje). Wpisz tam główną domenę i powtórz w SANs.

Kraj C wymaga 2-literowy kod, jakiego użyć?

Standardowy [[ISO 3166-1 alpha-2||standard kodów krajów, 2-literowe wielkimi literami]]. Polska = **PL**, Niemcy = **DE**, USA = **US**, Wielka Brytania = **GB**. Nie wpisuj "POL" ani "Polska", CA odrzuci CSR.

Czy moje dane (CN, O, e-mail) trafiają na Wasz serwer?

**Nie**. Cała generacja w Twojej przeglądarce (biblioteka node-forge + Web Crypto API). Otwórz **DevTools → Network** w trakcie generacji, żadnego requestu nie zobaczysz. Klucz prywatny **nigdy nie opuszcza** Twojego urządzenia.

Co zrobić z klucz prywatny po wygenerowaniu?

Zapisz w bezpiecznym miejscu na serwerze (`/etc/ssl/private/example.com.key` na Linuksie). Ustaw uprawnienia **600 (czytelny tylko dla root)**. Backup do menedżera haseł albo w sejfie. **Nigdy nie wrzucaj do repozytorium kodu** (gitignore!). Jeśli zgubisz klucz, musisz wygenerować nowy CSR + odnowić certyfikat (CA nie pomoże).

Czy mogę użyć tego klucza dla wielu domen?

Tak, klucz prywatny **nie jest powiązany z domeną**, tylko z certyfikatem. Możesz wystawić wiele certyfikatów na różne domeny używając tego samego klucza. **Ale niezalecane**: kompromitacja jednego serwera ujawnia wszystkie domeny. Zwykle: jeden klucz, jedna domena (albo grupa SAN).

Jak zamienić CSR na podpisany certyfikat?

Wyślesz CSR do CA (Let's Encrypt, DigiCert, ...). CA weryfikuje, że kontrolujesz domenę (HTTP challenge albo DNS challenge), wystawia certyfikat (.crt). Łączysz go z kluczem prywatnym w konfiguracji serwera (Nginx: `ssl_certificate` + `ssl_certificate_key`). Restart serwera, HTTPS działa.

YourDevToolsPro

Generator CSR

Wygeneruj CSR (Certificate Signing Request) i klucz prywatny w przeglądarce. RSA, ECDSA, SANs, PEM.

LiveDziała w przeglądarce

Generator CSR + klucz prywatny

Wygeneruj CSR (Certificate Signing Request) i pasujący klucz prywatny do zamówienia certyfikatu SSL/TLS. Albo zdekoduj istniejący CSR, by zobaczyć dane subject + SANs.

Common Name (domena)*

example.com

E-mail

Organizacja (O)

np. Acme Sp. z o.o.

Jednostka (OU)

np. IT, Development

Miasto (L)

np. Warszawa

Województwo (ST)

np. mazowieckie

Kraj (C, 2 litery)

ISO 3166: PL, US, DE, GB

Subject Alt Names (SANs)

Lista dodatkowych domen oddzielonych przecinkami. Standard nowoczesnych certyfikatów.

Algorytm klucza

Hasło klucza prywatnego (opcjonalne)

Klucz prywatny i CSR generowane lokalnie w Twojej przeglądarce. Nic nie wychodzi na serwer.

Co to jest CSR i kiedy go potrzebujesz?

CSR to standardowy format używany do zamówienia certyfikatu SSL/TLS w urzędzie certyfikacji (Let's Encrypt, DigiCert, Sectigo). Wpisujesz dane domeny, klikasz "Generuj", dostajesz dwa pliki: CSR (wysyłasz do CA) i klucz prywatny (trzymasz na serwerze, nigdy nie udostępniasz).

Tu generujesz parę bezpośrednio w przeglądarce. Obsługujemy RSA 2048/3072/4096 oraz ECDSA P-256/P-384 (nowoczesny standard, mniejsze klucze). Dodaj SANs jeśli certyfikat ma obejmować www, api, blog itp.

Drugi tryb: wklej istniejący CSR, pokażemy Ci dane (subject, SANs, algorytm) zanim wyślesz do CA.

Wszystko liczone lokalnie. Klucz prywatny generowany w Twojej przeglądarce, nigdy nie przesyłany.

Jak korzystać

Tryb Generuj: wpisz Common Name (CN), główną domenę dla której chcesz certyfikat (np. example.com).
Dodaj organizację (O), dział (OU), miasto (L), województwo (ST) i kraj (C, 2-literowy kod, np. PL, US, DE).
Pole SANs to lista dodatkowych domen oddzielonych przecinkami (np. www.example.com, api.example.com). Większość certyfikatów obejmuje przynajmniej "example.com" i "www.example.com".
Wybierz algorytm: RSA 2048 dla maksymalnej kompatybilności, ECDSA P-256 dla szybkości i nowoczesności (zalecane przez Let's Encrypt w 2025).
Klikasz Generuj, dostajesz dwa pliki: CSR (wyślij do CA, np. wklej w panelu Let's Encrypt) i klucz prywatny (zachowaj na serwerze, nie udostępniaj).
Tryb Weryfikuj: wklej istniejący CSR (np. wygenerowany przez OpenSSL), zobacz subject, SANs, algorytm. Sprawdź zanim wyślesz do CA.

Do czego się przydaje

Pięć typowych sytuacji, w których generujesz CSR:

Certyfikat Let's Encrypt na własny serwer. Większość ludzi używa certbot/acme.sh (automatyczne CSR), ale dla ręcznej konfiguracji albo niestandardowych przypadków musisz sam wygenerować.
Komercyjny certyfikat SSL z DigiCert, Sectigo, GlobalSign. Płatne certyfikaty wymagają CSR z Twojego serwera.
**Wildcard certyfikat (*.example.com)**. CN = "*.example.com", obejmuje wszystkie subdomeny.
Certyfikat na intranet/staging. CSR potem podpisuje wewnętrzne CA firmy.
Migracja certyfikatu na nowy serwer. Nowy CSR + nowy klucz, by uniknąć ekspozycji starego.

Aby sprawdzić aktywny certyfikat domeny, użyj SSL Cert Inspector. Aby wygenerować klucz prywatny do JWT, zobacz JWT Keypair Generator.

Pytania i odpowiedzi

CSR to prośba (request). Zawiera dane Twojego serwera + klucz publiczny + Twój podpis. Certyfikat to odpowiedź urzędu certyfikacji (CA), zawiera te same dane PLUS podpis CA, który "gwarantuje", że jesteś tym za kogo się podajesz. Przeglądarki ufają tylko certyfikatom podpisanym przez zaufane CA (Let's Encrypt, DigiCert, ...).

Mogą Cię też zainteresować

Powiązane narzędzia

Sprawdzanie certyfikatu SSL

Wpisz domenę, dostań pełny łańcuch certyfikatów SSL: dni do wygaśnięcia, klucz publiczny, podpis, SAN, fingerprinty i alerty bezpieczeństwa.

Imię i nazwisko

Wygeneruj parę kluczy OpenPGP (Ed25519 lub RSA) bezpośrednio w przeglądarce. Format armored ASCII, gotowy do importu.

Generator kluczy JWT

Wygeneruj parę kluczy do podpisywania JWT: RS256/RS384/RS512, PS256, ES256/ES384/ES512 albo EdDSA. PEM + JWK + przykładowy podpisany JWT. Po stronie serwera, nigdzie nie zapisujemy.

Generator kluczy DKIM

Wygeneruj parę kluczy RSA dla DKIM i gotowy rekord TXT do wklejenia w DNS. 1024 / 2048 / 4096 bitów, po stronie serwera.

Szyfrowanie AES

Zaszyfruj tekst hasłem (AES-GCM 256). Wszystko w przeglądarce, nic nie wychodzi na serwer.