Generar manualmente una solicitud de firma de certificado (CSR) Usando OpenSSL

Este tutorial le mostrará cómo generar manualmente un Solicitud de firma de certificado (o CSR) en un entorno de alojamiento web Apache o Nginx mediante OpenSSL. Hacer clic aquí para un tutorial sobre cómo pedir certificados, o aquí para obtener más información sobre cómo instalar su nuevo certificado SSL.com.

Para obtener instrucciones más útiles y las últimas noticias sobre seguridad cibernética, suscríbase al boletín de SSL.com aquí:

Video

¿Qué es OpenSSL?
OpenSSL es un juego de herramientas de línea de comandos de código abierto muy útil para trabajar con X.509 certificados, solicitudes de firma de certificados (CSRs) y claves criptográficas. Si está utilizando una variante de UNIX como Linux o macOS, es probable que OpenSSL ya esté instalado en su computadora. Si desea utilizar OpenSSL en Windows, puede habilitar Subsistema Linux de Windows 10 o instalar Cygwin.

En estas instrucciones, usaremos OpenSSL's req utilidad para generar tanto la clave privada como CSR en un comando Generar la clave privada de esta manera garantizará que se le solicite una frase de contraseña para proteger la clave privada. En todos los ejemplos de comandos que se muestran, reemplace los nombres de archivo que se muestran en TODAS LAS MAYÚSCULAS con las rutas y nombres de archivo reales que desea usar. (Por ejemplo, puede reemplazar PRIVATEKEY.key /private/etc/apache2/server.key en un entorno macOS Apache.) Este tutorial cubre la generación de ambos RSA y ECDSA llaves.

SSL.com proporciona una amplia. variedad de SSL /TLS certificados de servidor para sitios web HTTPS.

COMPARAR SSL /TLS CERTIFICADOS

RSA

El siguiente comando OpenSSL generará una clave privada RSA de 2048 bits y CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Analicemos el comando:

  • openssl es el comando para ejecutar OpenSSL.
  • req es la utilidad OpenSSL para generar un CSR.
  • -newkey rsa:2048 le dice a OpenSSL que genere una nueva clave privada RSA de 2048 bits. Si prefiere una clave de 4096 bits, puede cambiar este número a 4096.
  • -keyout PRIVATEKEY.key especifica dónde guardar el archivo de clave privada.
  • -out MYCSR.csr especifica dónde guardar el CSR archivo.
  • Con estos dos últimos elementos, recuerde utilizar sus propias rutas y nombres de archivo para la clave privada y CSR, no los marcadores de posición.

Después de escribir el comando, presione entrar. Se le presentará una serie de indicaciones:

  • Primero cree y verifique una frase de paso. Recuerde esta frase de contraseña porque la necesitará nuevamente para acceder a su clave privada.
  • Ahora se le pedirá que ingrese la información que se incluirá en su CSR. Esta información también se conoce como Nombre distinguidoo DN. Nombre común SSL.com requiere este campo al enviar su CSR, pero los otros son opcionales. Si desea omitir un elemento opcional, simplemente escriba entrar cuando aparece:
    • El Nombre del país (opcional) toma dos letras código de país.
    • El Nombre de localidad campo (opcional) es para su ciudad o pueblo.
    • El Nombre de la organización El campo (opcional) corresponde al nombre de su empresa u organización.
    • El Nombre común campo (requerido) se utiliza para el Nombre de dominio completo (FQDN) del sitio web que protegerá este certificado.
    • Correo electrónico (opcional)
    • El Contraseña de desafío El campo es opcional y se puede omitir también.

Al finalizar este proceso, volverá a un símbolo del sistema. No recibirá ninguna notificación de que su CSR fue creado con éxito.

ECDSA

Para crear una clave privada ECDSA con su CSR, debe invocar una segunda utilidad OpenSSL para generar los parámetros para la clave ECDSA.

Este comando de OpenSSL generará un archivo de parámetros para una clave ECDSA de 256 bits:

openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey ejecuta la utilidad de openssl para la generación de claves privadas.
  • -genparam genera un archivo de parámetros en lugar de una clave privada. También podría generar una clave privada, pero utilizando el archivo de parámetros al generar la clave y CSR garantiza que se le solicitará una frase de contraseña.
  • -algorithm ec especifica un algoritmo de curva elíptica.
  • -pkeyopt ec_paramgen_curve:P-256 elige una curva de 256 bits. Si prefiere una curva de 384 bits, cambie la porción después de los dos puntos a P-384.
  • -out ECPARAM.pem proporciona una ruta y un nombre de archivo para el archivo de parámetros.

Ahora, especifique su archivo de parámetros al generar el CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

El comando es el mismo que usamos en el ejemplo RSA anterior, pero -newkey RSA:2048 ha sido reemplazado por -newkey ec:ECPARAM.pem. Como antes, se le solicitará una frase de contraseña y la información de nombre distinguido para CSR.

Si lo desea, puede usar la redirección para combinar los dos comandos de OpenSSL en una línea, omitiendo la generación de un archivo de parámetros, de la siguiente manera:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Siguiente pasos

Para obtener más información sobre la instalación de su certificado, leer aquí, para enlazar con IIS 10, leer aquí. 

¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página. También puede encontrar respuestas a muchas preguntas de soporte comunes en nuestro base de conocimientos.

Suscríbase al boletín de SSL.com

No te pierdas los nuevos artículos y actualizaciones de SSL.com

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.