SSLmentor

Certificados TLS/SSL de calidad para sitios web y proyectos en Internet.

Área clientes
OpenSSL

OpenSSL

Generación de Claves y Solicitud de Firma de Certificado (CSR)

Crear una clave privada y solicitar un certificado (clave pública) se puede resolver en OpenSSL con un solo comando e ingresando la información necesaria. La solicitud de certificado (CSR) y la generación de la clave privada también se pueden realizar fácilmente en la administración de clientes de SSLmentor.

OpenSSL

Para trabajar con certificados, necesitas tener instalada la biblioteca OpenSSL. Consulta la página de OpenSSL para Windows y Mac OSX para obtener instrucciones y enlaces de descarga.

Generando una solicitud de certificado (CSR) y una clave privada

El comando crea una clave privada así como una solicitud de certificado. Debes especificar una ruta para colocar los archivos en otro directorio.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Para la generación de claves y solicitudes de certificado, es importante que la solicitud contenga la información correcta. Seleccionar rsa: 2048 significa establecer la longitud de la clave. Para una mayor seguridad, es posible establecer rsa: 3072 o rsa: 4096.
¡Importante! Siempre debes completar el nombre de dominio y el código de país de acuerdo con el estándar ISO. ¡Deja en blanco el campo "A challenge password"!

OpenSSL - generování certifikátu

Verificación de la Solicitud de Certificado (CSR)

Para verificar que la CSR (Solicitud de Firma de Certificado) es correcta, podemos ejecutar el comando con el parámetro "-verify" añadido. Es recomendable realizar la verificación antes de enviar la solicitud a la autoridad de certificación. Alternativamente, recomendamos probar tu CSR utilizando la herramienta de DigiCert - Verifica tu CSR.

openssl req -in request.csr -text -noout -verify

Información ingresada en la solicitud de certificado

La siguiente información se ingresa al generar las claves (se da un ejemplo de cómo completarla después de la flecha).

  • Common name [CN]: nombre de dominio -> www.sslmentor.com
  • Organization [O]: nombre exacto de la empresa, propietario del dominio -> Web security s.r.o.
  • Organizational unit [OU]: departamento de la empresa -> internet / eshop / it / ...
    A partir del 1 de septiembre de 2022, los certificados TLS públicos no tendrán una OU y se ignorará la OU.
  • City/locality [L]: ciudad -> Praga
  • State/province [S]: -> República Checa
  • Country/region [C]: código de país según ISO -> CZ
  • Key Size: 2048 bit

Recomendamos ingresar el nombre de dominio exactamente como está configurado en el servidor y como se muestra en el navegador. Aunque las autoridades de certificación insertan ambas variantes en el certificado (con y sin www antes del nombre de dominio), ambas variantes no se insertan para certificados multidominio.
El número máximo de caracteres para Nombre común [CN] y Organización [O] es 64. Puedes encontrar más reglas en Requisitos básicos y violaciones de RFC 5280.

País/región [C]:
  • ES - España
  • GB - Gran Bretaña
  • US - Estados Unidos de América
  • DE - Alemania
  • CZ - República Checa
  • HU - Hungría
  • AT - Austria
  • PL - Polonia

El código de país debe ingresarse exactamente según ISO en MAYÚSCULAS.
Puedes encontrar una visión general de los códigos de país de ISO en el sitio web de la Organización Internacional de Normalización www.iso.org.

¿Qué es Challenge password?

Al generar el certificado, se ofrece la entrada "A challenge password". Siempre déjalo en blanco, de lo contrario, la CA rechazará el pedido. La contraseña de desafío está definida en RFC 2985 como la contraseña de revocación del certificado.

Información mínima para certificados DV

Los certificados de dominio (DV) contienen solo información de dominio y todos los demás datos ingresados en la aplicación son eliminados por la autoridad de certificación.
Por ejemplo, la información en el cuerpo SSL del certificado PositiveSSL es solo:

  • CN = dominio.com
  • OU = PositiveSSL
  • OU = Domain Control Validated

La información mínima que se debe ingresar para los certificados de dominio para que se emita un certificado es el Nombre común [CN] y el País/región [C]. Sin embargo, recomendamos que completes toda la información debido a un posible rechazo por parte de la autoridad de certificación.

¿Qué sigue?

Volver a Ayuda
¿Encontraste un error o no entiendes algo? ¡Escríbenos!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum