Este tutorial le mostrará cómo generar manualmente un Solicitud de firma de certificado (o CSR) en un entorno de alojamiento web Apache o Nginx mediante OpenSSL. Hacer clic esta página para un tutorial sobre cómo pedir certificados, o esta página para obtener más información sobre cómo instalar su nuevo certificado SSL.com.
Para obtener instrucciones más útiles y las últimas noticias sobre seguridad cibernética, suscríbase al boletín de SSL.com aquí:
Video
OpenSSL es un juego de herramientas de línea de comandos de código abierto muy útil para trabajar con X.509 certificados, solicitudes de firma de certificados (CSRs) y claves criptográficas. Si está utilizando una variante de UNIX como Linux o macOS, es probable que OpenSSL ya esté instalado en su computadora. Si desea utilizar OpenSSL en Windows, puede habilitar Subsistema Linux de Windows 10 o instalar Cygwin.
En estas instrucciones, usaremos OpenSSL's req utilidad para generar tanto la clave privada como CSR en un comando Generar la clave privada de esta manera garantizará que se le solicite una frase de contraseña para proteger la clave privada. En todos los ejemplos de comandos que se muestran, reemplace los nombres de archivo que se muestran en TODAS LAS MAYÚSCULAS con las rutas y nombres de archivo reales que desea usar. (Por ejemplo, puede reemplazar PRIVATEKEY.key /private/etc/apache2/server.key en un entorno macOS Apache.) Este tutorial cubre la generación de ambos RSA y ECDSA llaves.
RSA
El siguiente comando OpenSSL generará una clave privada RSA de 2048 bits y CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Analicemos el comando:
openssles el comando para ejecutar OpenSSL.reqes la utilidad OpenSSL para generar un CSR.-newkey rsa:2048le dice a OpenSSL que genere una nueva clave privada RSA de 2048 bits. Si prefiere una clave de 4096 bits, puede cambiar este número a4096.-keyout PRIVATEKEY.keyespecifica dónde guardar el archivo de clave privada.-out MYCSR.csrespecifica dónde guardar el CSR archivo.- Con estos dos últimos elementos, recuerde utilizar sus propias rutas y nombres de archivo para la clave privada y CSR, no los marcadores de posición.
Después de escribir el comando, presione entrar. Se le presentará una serie de indicaciones:
- Primero cree y verifique una frase de paso. Recuerde esta frase de contraseña porque la necesitará nuevamente para acceder a su clave privada.
- Ahora se le pedirá que ingrese la información que se incluirá en su CSR. Esta información también se conoce como Nombre distinguidoo DN. Nombre común SSL.com requiere este campo al enviar su CSR, pero los otros son opcionales. Si desea omitir un elemento opcional, simplemente escriba entrar cuando aparece:
- El Nombre del país (opcional) toma dos letras código de país.
- El Nombre de localidad campo (opcional) es para su ciudad o pueblo.
- El Nombre de la organización El campo (opcional) corresponde al nombre de su empresa u organización.
- El Nombre común campo (requerido) se utiliza para el Nombre de dominio completo (FQDN) del sitio web que protegerá este certificado.
- Correo electrónico (opcional)
- El Contraseña de desafío El campo es opcional y se puede omitir también.
Al finalizar este proceso, volverá a un símbolo del sistema. No recibirá ninguna notificación de que su CSR fue creado con éxito.
ECDSA
Para crear una clave privada ECDSA con su CSR, debe invocar una segunda utilidad OpenSSL para generar los parámetros para la clave ECDSA.
Este comando de OpenSSL generará un archivo de parámetros para una clave ECDSA de 256 bits:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkeyejecuta la utilidad de openssl para la generación de claves privadas.-genparamgenera un archivo de parámetros en lugar de una clave privada. También podría generar una clave privada, pero utilizando el archivo de parámetros al generar la clave y CSR garantiza que se le solicitará una frase de contraseña.-algorithm ecespecifica un algoritmo de curva elíptica.-pkeyopt ec_paramgen_curve:P-256elige una curva de 256 bits. Si prefiere una curva de 384 bits, cambie la porción después de los dos puntos aP-384.-out ECPARAM.pemproporciona una ruta y un nombre de archivo para el archivo de parámetros.
Ahora, especifique su archivo de parámetros al generar el CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
El comando es el mismo que usamos en el ejemplo RSA anterior, pero -newkey RSA:2048 ha sido reemplazado por -newkey ec:ECPARAM.pem. Como antes, se le solicitará una frase de contraseña y la información de nombre distinguido para CSR.
Si lo desea, puede usar la redirección para combinar los dos comandos de OpenSSL en una línea, omitiendo la generación de un archivo de parámetros, de la siguiente manera:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Siguiente pasos
Para obtener más información sobre la instalación de su certificado, leer aquí, para enlazar con IIS 10, leer aquí.