Nota del editor: este artículo se publicó originalmente en septiembre de 2017. Recientemente se ha revisado y actualizado de acuerdo con los últimos estándares / convenciones para SSL / TLS.
Pensando en aquellas personas que se asoman por primera vez al universo del SSL/TLS, y también en los veteranos que desean mejorar sus conocimientos, hemos elaborado una serie de artículos sobre los aspectos básicos del SSL. En primer lugar, hablaremos de las solicitudes de firma de certificados (CSR). Se trata de pequeños archivos que son una parte fundamental del proceso de solicitud de un certificado SSL/TLS, pero ¿qué son exactamente y cómo podemos generarlos?
Definición de CSR
Una Solicitud de Firma de Certificado (CSR) constituye uno de los primeros pasos hacia la obtención de un certificado SSL/TLS. La CSR, que se genera en el mismo servidor en el que posteriormente se instalará el certificado, contiene la información (p. ej., nombre común, organización, país) que la Autoridad de Certificación (AC) utilizará para crear el certificado. También contiene la clave pública que se incluirá en el certificado, y se firma con la correspondiente clave privada. A continuación, analizaremos detenidamente las funciones de estas claves.
¿Qué información incluye la CSR?
La AC usará los datos de la CSR para crear el certificados SSL. Los elementos de información clave incluyen:
1. Información sobre su negocio y el sitio web que desea proteger con SSL, incluido:
| Nombre común (CN)
(p. ej., *.ejemplo.com www.ejemplo.com correo.ejemplo.com)
|
El nombre de dominio plenamente cualificado (FQDN) de su servidor.
|
| Organización (O)
|
El nombre jurídico de la organización. No debe abreviarse ni incluir sufijos como Inc, SA., SL, etc. En el caso de los certificados SSL EV y OV, la AC validará esta información y la incluirá en el certificado.. |
| Unidad organizacional (OU)
|
El departamento de su organización que gestiona el certificado. |
| Ciudad/Localidad (L)
|
La ciudad en la que se encuentra su organización. No debe abreviarse. |
| Estado/Provincia/Región (S)
|
La provincia/región en la que se encuentra su organización. No debe abreviarse. |
| País (C) |
El código bilítero del país en el que se encuentra su organización. |
| Dirección de correo electrónico |
La dirección de correo electrónico que se utilizará para contactar con su organización. |
2. La clave pública que se incluirá en el certificado. El protocolo SSL utiliza un cifrado de clave pública, o asimétrico, para cifrar los datos transmitidos durante una sesión SSL. La clave pública se utiliza para cifrar, mientras que la clave privada correspondiente permite descifrar los datos.
3. Información sobre el tipo y longitud de la clave. El tamaño de clave más común es RSA 2048, aunque algunas AC, incluida GlobalSign, ofrecen tamaños de clave mayores (p. ej., RSA 4096+) o claves ECC.
¿Cómo es una CSR?
La CSR suele crearse en un formato PEM basado en Base-64. Puede abrir el archivo CSR usando un editor de texto simple, y la apariencia será esta: debe incluir el encabezado y el pie de página (-----BEGIN NEW CERTIFICATE REQUEST-----) al pegar la CSR.
-----BEGIN NEW CERTIFICATE REQUEST-----MIIDVDCCAr0CAQAweTEeMBwGA1UEAxMVd3d3Lmpvc2VwaGNoYXBtYW4uY29tMQ8w DQYDVQQLEwZEZXNpZ24xFjAUBgNVBAoTDUpvc2VwaENoYXBtYW4xEjAQBgNVBAcT CU1haWRzdG9uZTENMAsGA1UECBMES2VudDELMAkGA1UEBhMCR0IwgZ8wDQYJKoZI hvcNAQEBBQADgY0AMIGJAoGBAOEFDpnOKRabQhDa5asDxYPnG0c/neW18e8apjOk 1yuGRk+3GD7YQvuhBVS1x6wkw1D2RnmnZgN1nNUK0cRK7sIvOyCh1+jgD7u46mLk 81j+b4YSEmYZGPLIuclyocPDm0hXayjCUqWt7z6LMIKpLym8gayEZzz9Gn97PsbP kVFBAgMBAAGgggGZMBoGCisGAQQBgjcNAgMxDBYKNS4xLjI2MDAuMjB7BgorBgEE AYI3AgEOMW0wazAOBgNVHQ8BAf8EBAMCBPAwRAYJKoZIhvcNAQkPBDcwNTAOBggq hkiG9w0DAgICAIAwDgYIKoZIhvcNAwQCAgCAMAcGBSsOAwIHMAoGCCqGSIb3DQMH MBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQICMYHuMIHrAgEBHloA TQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEAbgBuAGUAbAAgAEMA cgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkAZABlAHIDgYkAk0kf HSkr4jsEVya3mgUoyaYMO456ECNZr4Cb+WhPgexfjOO5qwOG1oDOTaKycrkc5pG+ IPBQnq+4cotT8hWJQwpc+qGb8xUETpxCokhrhN5079vFXq/5dsHkmtOTwkSqSnz9 yruVoxYeDQ8jI3KG3HTgxwFto8oZnm+E+Y4oshUAAAAAAAAAADANBgkqhkiG9w0B AQUFAAOBgQAuAxetLzgfjBdWpjpixeVYZXuPZ+6jvZNL/9hOw7Fk5pVVXWdr8csJ 6JUW8QdH9KB6ZlM4yg8Df+vat1/DG6GuD2hiIR7fQ0NtPFBQmbrSm+TTBo95lwP+ ZSZTusPFTLKaqValdnS9Uw+6Vq7/I4ouDA8QBIuaTFtPOp+8wEGBHQ==
-----END NEW CERTIFICATE REQUEST-----
¿Cómo se crea una Solicitud de Firma de Certificado (CSR)?
La generación de una CSR dependerá de la plataforma que utilice. Hemos publicado varios artículo de soporte con instrucciones paso a paso para la generación de CSR en las plataformas más populares, como cPanel, Exchange, IIS, Java Keytool y OpenSSL. Puede leerlos aquí.
Aquí encontrará algunos vídeos que cubren las solicitudes de soporte más frecuentes relativas a la generación de una Solicitud de Firma de Certificado o CSR.
Cómo crear una CSR en Microsoft Management Console o MMC
Cómo crear una CSR en Java Key Store
Cómo crear una CSR en Apache OpenSSL
Cómo crear una CSR en IIS 10
¿Tiene alguna pregunta sobre las CSR o sobre el protocolo SSL/TLS en general? ¿Alguna sugerencia sobre otros temas que podamos abordar? ¡Le escuchamos en Twitter o LinkedIn!
