Cómo generar y enviar una CSR para certificados SSL/TLS

Los certificados digitales son imprescindibles para mantener la seguridad de las comunicaciones y los datos en línea. Los certificados SSL/TLS, en particular, facilitan la confianza del usuario ya que protegen los sitios web, garantizando que los datos del usuario, como la información personal o financiera, estén protegidos.

No se puede negar el valor de los certificados SSL en el panorama digital actual, repleto de amenazas, pero el proceso de obtener uno, y especialmente el adecuado para las necesidades de su empresa, puede resultar confuso o francamente frustrante en ocasiones. Esto se debe, en parte, a la gran cantidad de datos que a menudo se requieren en el proceso de emisión, especialmente al navegar por el aspecto más complicado y esencial de la obtención de un certificado digital: el envío de la solicitud de firma de certificado (CSR).

Una vez que comprenda cómo funcionan las CSR y por qué son importantes, le resultará mucho más fácil navegar por el proceso de solicitud. Para ayudarle, le explicaremos todo lo que necesita saber sobre las CSR: qué son, por qué son importantes y cómo presentarlas para obtener un certificado SSL/TLS.

¿Qué es una solicitud de firma de certificado CSR?

Una solicitud de firma de certificado (CSR) es un mensaje cifrado que incluye información fundamental sobre la persona u organización que desea obtener un certificado digital. Presenta una solución estandarizada para enviar claves públicas a las autoridades de certificación (CA) a través de un archivo codificado.

Una CSR es un componente crítico de la infraestructura de clave pública (PKI) y funciona esencialmente como el primer paso para solicitar certificados SSL/TLS.

¿Cuáles son los requisitos?

Cada CSR debe incluir algunos elementos clave, destinados a identificar al solicitante:

• El nombre común (CN) de la organización. En concreto, se trata del nombre de dominio completo (FQDN) o el nombre de dominio absoluto. Esto revela la ubicación exacta dentro del Sistema de Nombres de Dominio (DNS). Esto debe coincidir exactamente con lo que escriba en su navegador web o puede recibir un error de seguridad.
  
• El Nombre de la Organización (O). No confundir con el nombre común o FQDN, el nombre de la organización se refiere simplemente al nombre legal o título oficial de la empresa en cuestión. Si procede, debe incluir identificadores corporativos. En el caso de una RSE, el nombre de la organización nunca debe abreviarse.
  
• Unidad organizativa (UO). Unidad o división de la empresa/organización que gestiona el certificado.
  
• Localidad (L). El CSR debe incluir el detalle de la localidad, que es la ciudad en la que se encuentra.
  
• Estado o provincia (ST). Estado o provincia en el que se encuentra.
  
• País (C). País en el que se encuentra.
  
• Dirección de correo electrónico. Una dirección de correo electrónico asociada a la empresa.
  

Además de los nombres de las organizaciones y los detalles de ubicación, cada CSR implica una clave pública, que funciona como la mitad del eventual par de claves requerido para los certificados SSL. El propio proceso de creación de una CSR tiene como resultado la creación de esta clave pública. Esta se incluirá con el CSR.

Durante este proceso, también se creará una clave privada. Ésta, a diferencia de la clave pública, no debe incluirse con el CSR ni ponerse a disposición de la CA. En su lugar, debe guardarse hasta más adelante en el proceso, cuando será necesaria para instalar el certificado SSL.

Los detalles sobre el tipo y la longitud de la clave también influyen en la CSR. Los principales tipos de claves son RSA y DSA, que presentan ventajas y desventajas. Mientras que RSA (Rivest-Shamir-Adleman) suele preferirse para la verificación rápida y el cifrado, DSA (Digital Signature Algorithm) sustituye la factorización de primos de RSA por el problema del logaritmo discreto. DSA es la opción más eficiente para verificar y descifrar. Si se opta por RSA, es preferible una longitud de bits de 2048. El CA/Browser Forum define los requisitos básicos actuales para los tamaños de clave admitidos.

Ejemplo de CSR

Los archivos CSR suelen abrirse con editores de texto. Incluyen cabeceras y pies de página, destinados a designar cuándo comienza y termina la solicitud. El estándar de referencia actual es el formato PEM (Privacy Enhanced Mail) basado en Base-64. Clasificado como un esquema de codificación de binario a texto, está ampliamente considerado como el formato de facto para el envío de claves criptográficas.

A continuación, le ofrecemos un ejemplo detallado de lo que puede encontrarse, visualmente hablando, al enviar una CSR:

-----EMPEZAR SOLICITUD DE CERTIFICADO------
MIIDGDCCAgACAQAwgakxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRYwFAYDVQQKEw1Hb29nbGUsIEluYy4g
MRcwFQYDVQQLEw5JVCBEZXB0YXJ0bWVudDEXMBUGA1UEAxMOd3d3Lmdvb2dsZS5j
b20xIzAhBgkqhkiG9w0BCQEWFHdlYm1hc3RlckBnb29nbGUuY29tMIIBIjANBgkq
hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq3NT5DBBDql5gTB4/6Zsq/C1iwO4yBD2
nThaNfO1qHKUjnFz0oua+54x97TjmHItRH5H+jPJvmzzb4TUJ274CRFhquOOMZVM
dVIG9FUjogJstMqv4GtBC4C/ype0ilAcPEBjRi9bFiR/g43qPCnlRAJNo4cJko7n
W7erAJsRPNiQMr5UJN9h3GuQMPw6uaI/0OWuWjSTLzEBMujHhPySgZIv1SurVXDz
iFC6S6qvc9XQ1z6tkmrttdoOfDI+eT75QxysHmctgAvkZaFEoRASqcqf3iYyl9Qw
mh0xuLSoR9HTvaD9DhxAIa4/1+l6D9MGb/01+lip7AjqdnTTzSBfcQIDAQABoCkw
JwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG
9w0BAQsFAAOCAQEAZyMkFtElkS3vQoCPVHevrFcPgrx/Fqx0UdQdnf2RyoJ3jqiU
yPo5+5BHA9kY0TuJLhgMIq0QWAbzZYNL0+J8UUcx8EvMK6DqPpKteyYFCMw6GEzu
diq4RE/8Ea9UpGbw8GH1oEsUksBTwrs06OSOVgDXkJ1XY4VaRkMPflgQWGULgKYO
2P/zcFowENruGLJO7ynyUkm5idKdYzDqk7c7bqyLywOEPxSRKVyblmzqiFCOlCqp
HozZ9+5TmrMPD/hO1uHVECcL08RMGXoGMajojI8CE+cmkaWLq3PZt08Sv0F/Itop
O8XAZ2bYTK4HQfPm+Fud22SD+DkSwt8vN8Lu2g==
-----ENVIAR SOLICITUD DE CERTIFICADO-----

Navegar por estos densos datos basados en texto puede resultar difícil, por lo que le proporcionamos acceso a una útil herramienta de descodificación de CSR. Puede utilizarla fácilmente para verificar si los datos contenidos en la CSR (como la ubicación o el nombre de la organización antes mencionados) son exactos.

Importancia de las solicitudes de firma de certificado (CSR)

La CSR representa uno de los primeros y más importantes pasos en el proceso de obtención de un certificado SSL/TLS. La información contenida en la CSR permite a la CA crear los certificados solicitados.

En muchos sentidos, la función de la CSR se reduce a la confianza: al promover y revelar la autenticidad del sitio web, este recurso establece una base de confianza muy necesaria entre dos partes, la CA y la organización que solicita el certificado SSL. A las CA se les concede el poder y la responsabilidad de la verificación, y no se toman esta autoridad a la ligera. Gracias a las CSR, las CA pueden facilitar la confianza colectiva en la PKI.

Desde un punto de vista práctico, las CSR son importantes porque, sin ellas, será prácticamente imposible obtener los tan necesarios certificados SSL/TLS de CA de confianza. Estos certificados son cruciales para desarrollar la confianza entre los clientes, que quieren saber que su información se transmite de forma segura. La solicitud de firma de certificado sienta las bases de esta relación de confianza.

Cómo generar una CSR en distintas plataformas

Ahora que comprende el valor de una CSR, es el momento de dar el siguiente paso: generar y enviar la solicitud oficial. Esto puede ser complicado, en parte, porque la generación del código de RSE puede ser un poco diferente de una plataforma a otra. Cada plataforma aporta ventajas y retos distintos, pero a continuación destacamos algunas de las soluciones más comunes:

OpenSSL

OpenSSL, una herramienta de línea de comandos de código abierto, proporciona un marco común para buscar CSR. Es atractiva no sólo por ser de código abierto, sino también por su relativa facilidad de uso. Se utiliza a menudo para producir CSR a través de los entornos de alojamiento web Nginx y Apache. Esta estrategia también es especialmente valiosa para producir CSR ECC (Elliptic Curve Cryptography Certificate Signing Requests).

Con el método OpenSSL, el comando necesario será el siguiente:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Una vez que se le solicite, puede introducir los detalles de la CSR antes mencionados, como la ubicación y el FQDN. No es necesario introducir un código de acceso, pero puede ser una opción útil para aumentar la seguridad.

Administrador IIS

Otro método habitual es el Administrador de Internet Information Services (IIS) de Microsoft. Visite la página Conexiones dentro del Administrador de IIS , desplazándose junto al menú Certificados de servidor y luego a la página Acciones.

A partir de ahí, la página Propiedades de nombre distinguido proporcionará una herramienta de solicitud de certificado, donde se puede enviar el FQDN y otros datos esenciales. No olvide indicar la longitud de bits y el proveedor criptográfico.

Otras opciones

Algunas organizaciones mencionan su preferencia por trabajar con plataformas específicas para generar CSR. Sea cual sea la plataforma deseada, estaremos encantados de proporcionar asistencia y orientación en cada paso del proceso. Entre las opciones alternativas sobre las que proporcionamos detalles de generación se incluyen:

• Cpanel
  
• NGINX
  
• Microsoft IIS
  
• Plesk
  
• Webstar
  
• Servidores web basados en Java que utilizan OpenSSL
  
• Descargador SonicWALL
  
• Google App Engine

Desafíos comunes y consejos

A menudo, el mayor reto a la hora de crear una CSR consiste en leer y comprender la solicitud real cuando está en el formato PEM recomendado. Otras preocupaciones comunes incluyen:

• Información inexacta del nombre. Prestar atención a los detalles es crucial a la hora de crear y enviar una CSR. Esto es especialmente importante en el caso de los detalles de denominación, incluidos tanto el FQDN como el nombre legal de la empresa en cuestión. De ahí la necesidad de un descodificador para revelar que los nombres se presentan con precisión.
  
• Búsqueda de certificados SSL multidominio. La generación de CSR no tiene por qué causarle continuos quebraderos de cabeza si desea proteger varios dominios. En caso de duda, los archivos de configuración de OpenSSL pueden ajustarse para incluir nombres Alt o SAN. Como siempre, los requisitos variarán en función del tipo de certificado y del nivel de validación deseado.
  
• Comprobación y descodificación de la CSR. Para asegurarse de que la CSR está lista para ser enviada a la CA deseada, utilice una herramienta decodificadora para verificar que está formateada correctamente. Sectigo ofrece acceso gratuito a un descodificador de CSR, para que puedas sentirte seguro al enviar tu CSR y dar uno de los pasos más cruciales para obtener certificados SSL/TLS.

Asegura tu sitio web con Sectigo

Ahora que está familiarizado con el proceso de CSR, es el momento de determinar qué certificados utilizará para proteger su sitio web. En Sectigo, ofrecemos un proceso CSR sencillo, además de una variedad de opciones para obtener y gestionar certificados digitales. Nuestras soluciones de gestión del ciclo de vida de los certificados agilizan el proceso, para que pueda proteger con confianza identidades a escala.

También le recomendamos que lea nuestro recurso sobre los distintos tipos de certificados SSL para que pueda determinar el certificado adecuado para sus necesidades. No dude en ponerse en contacto con nosotros si desea obtener más información sobre las CSR y el papel que desempeñan en la obtención de certificados SSL.

Entradas asociadas:

• ¿Qué es PKI? Definición y guía de la infraestructura de clave pública
• ¿Cuáles son las diferencias entre los algoritmos de cifrado RSA, DSA y ECC?

• Administrador de Internet Information Services (IIS) de Microsoft