Antes de poder generar su certificado SSL, el solicitante del certificado debe crear una Solicitud de firma de certificado (CSR) para un nombre de dominio o nombre de host en su servidor web. La CSR es una forma estandarizada de enviar a la autoridad certificadora (CA) emisora su clave pública, que está emparejada con una clave privada secreta en el servidor y proporciona información relevante sobre el solicitante como se indica a continuación:
- Nombre común (CN): Este es el nombre de dominio completo (FQDN) de su servidor (es decir, www.google.com) . Esto debe coincidir exactamente con lo que escribe en su navegador web o puede recibir un error de seguridad.
- Nombre de la organización (O): El nombre legal de su empresa/organización (es decir, Google, Inc.) . No abrevie el nombre de su empresa y debe incluir el identificador corporativo como Inc., Corp o LLC (si corresponde). Para pedidos DV, puede utilizar su nombre personal (es decir, John Doe).
- Unidad organizativa (OU): La unidad o división de la empresa/organización que gestiona el certificado (es decir, Departamento de TI).
- Localidad (L): La ciudad en la que se encuentra (es decir, Mountain View)
- Nombre del estado o provincia (ST): El estado o provincia en el que se encuentra (es decir, California)
- País (C): El país en el que se encuentra (es decir, Estados Unidos o EE. UU.)
- Dirección de correo electrónico: Una dirección de correo electrónico asociada a la empresa (es decir, [email protected])
- Longitud de la raíz: La longitud de bits del par de claves determina la fortaleza de la clave y la facilidad con la que se puede descifrar utilizando métodos de fuerza bruta. El tamaño de clave de 2048 bits es el nuevo estándar de la industria y se utiliza para garantizar la seguridad en el futuro previsible.
- Algoritmo de firma: Las autoridades emisoras de certificados utilizan el algoritmo hash para firmar certificados y CRL (lista de revocación de certificados) para generar valores hash únicos a partir de archivos. Se recomienda encarecidamente que su certificado esté firmado con SHA-2, ya que es el algoritmo de firma más potente adoptado por la industria.
Como se mencionó anteriormente, además de crear una CSR, el servidor web también exportará otro archivo llamado clave privada. La clave privada es una clave criptográfica única relacionada con la CSR correspondiente y nunca debe compartirse con nadie fuera de su entorno de servidor seguro. La clave privada se utiliza matemáticamente para descifrar cualquier dato confidencial que se transmita y se cifre con su correspondiente clave pública y viceversa. Si la clave privada se pierde o se ve comprometida, los usuarios malintencionados podrían leer sus comunicaciones cifradas y poner en riesgo la reputación de su organización, lo que anula toda la metodología detrás de la infraestructura de clave pública (PKI). Si la clave privada se pierde o se ve comprometida, recomendamos encarecidamente crear un nuevo par de claves y reemplazar o volver a emitir su certificado SSL.
Ejemplo de CSR
La mayoría de las CSR se crean en el formato PEM codificado en Base-64 e incluyen las líneas “—–BEGIN CERTIFICATE REQUEST—–“ y “—–END CERTIFICATE REQUEST—–“ como etiquetas de encabezado y pie de página de la CSR. Una CSR en formato PEM estándar se parecerá al siguiente ejemplo:
-----BEGIN CERTIFICATE REQUEST-----
MIIDGDCCAgACAQAwgakxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRYwFAYDVQQKEw1Hb29nbGUsIEluYy4g
MRcwFQYDVQQLEw5JVCBEZXB0YXJ0bWVudDEXMBUGA1UEAxMOd3d3Lmdvb2dsZS5j
b20xIzAhBgkqhkiG9w0BCQEWFHdlYm1hc3RlckBnb29nbGUuY29tMIIBIjANBgkq
hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq3NT5DBBDql5gTB4/6Zsq/C1iwO4yBD2
nThaNfO1qHKUjnFz0oua+54x97TjmHItRH5H+jPJvmzzb4TUJ274CRFhquOOMZVM
dVIG9FUjogJstMqv4GtBC4C/ype0ilAcPEBjRi9bFiR/g43qPCnlRAJNo4cJko7n
W7erAJsRPNiQMr5UJN9h3GuQMPw6uaI/0OWuWjSTLzEBMujHhPySgZIv1SurVXDz
iFC6S6qvc9XQ1z6tkmrttdoOfDI+eT75QxysHmctgAvkZaFEoRASqcqf3iYyl9Qw
mh0xuLSoR9HTvaD9DhxAIa4/1+l6D9MGb/01+lip7AjqdnTTzSBfcQIDAQABoCkw
JwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG
9w0BAQsFAAOCAQEAZyMkFtElkS3vQoCPVHevrFcPgrx/Fqx0UdQdnf2RyoJ3jqiU
yPo5+5BHA9kY0TuJLhgMIq0QWAbzZYNL0+J8UUcx8EvMK6DqPpKteyYFCMw6GEzu
diq4RE/8Ea9UpGbw8GH1oEsUksBTwrs06OSOVgDXkJ1XY4VaRkMPflgQWGULgKYO
2P/zcFowENruGLJO7ynyUkm5idKdYzDqk7c7bqyLywOEPxSRKVyblmzqiFCOlCqp
HozZ9+5TmrMPD/hO1uHVECcL08RMGXoGMajojI8CE+cmkaWLq3PZt08Sv0F/Itop
O8XAZ2bYTK4HQfPm+Fud22SD+DkSwt8vN8Lu2g==
-----END CERTIFICATE REQUEST-----
Si crea una CSR y desea verificar la exactitud de los detalles contenidos en ella (es decir, nombre común, nombre de la organización, etc.), puede decodificar fácilmente el texto cifrado utilizando nuestro decodificador CSR . Esta herramienta se usa comúnmente para solucionar mensajes de error recibidos durante el proceso de generación. Por ejemplo, si compra un certificado SSL comodín y pega una CSR con nombre común: www.google.com, recibirá un mensaje de error durante el proceso de generación ya que el nombre común no tiene un asterisco “*” a la izquierda. nivel de subdominio más lejano (es decir, *.google.com) dentro del campo Nombre común. Esta herramienta le permitirá verificar el error de entrada y proceder a crear un nuevo par de claves.
Al crear su CSR y su clave privada, consulte nuestras Instrucciones de generación de CSR, fáciles de leer , para su entorno de servidor específico. Si no está seguro de qué servidor está utilizando o necesita ayuda durante cualquier paso del proceso, comuníquese con nuestro amigable equipo de soporte técnico las 24 horas, los 7 días de la semana por teléfono, chat en vivo o correo electrónico.
Cómo generar un CSR para servicios de AWS
