Un archivo de solicitud de firma de certificado (CSR) es algo que usted genera y entrega a una autoridad de certificación, quien a su vez firma y le envía el certificado SSL solicitado que se utilizó para habilitar HTTPS en su servidor web.
¿Qué constituye un archivo CSR?
Los archivos CSR contienen información sobre su organización y el tipo de certificado que solicita. Por lo general, se generan automáticamente con la ayuda de una utilidad como OpenSSL. Si está usando LetsEncrypt, certbot gestiona la creación de archivos CSR por usted.
Los archivos CSR contienen la próxima información:
- Nombre común (CN): el nombre de host de su servidor. Eso debe coincidir exactamente, o sus usuarios verán una página de error en su navegador que dice que el certificado no es de confianza. Puede usar comodines (p. Ej.,
*.domain.com) para solicitar un certificado comodín que se aplique a todos los subdominios. Un comodín como este se aplica awww, pero si desea proteger su dominio raíz y todos los subdominios, necesitará dos certificados separados. El nombre común es el único campo que es técnicamente obligatorio, por lo que puede dejar todo lo demás en blanco si lo desea. A pesar de esto, es bueno completar los demás. - Organización (O): el nombre legal completo de su compañía, incluidos los sufijos, como LLC. Si solicita un certificado EV u OV (que son completamente inútiles), deberá validarse. A pesar de esto, para un SSL normal, puede poner lo que sea, dado que no está marcado y ni siquiera es obligatorio.
- Unidad organizativa (OU): la división de su compañía que gestiona el certificado.
- País (C): el código de dos letras del país en el que se encuentra.
- Estado / condado / región (S): el nombre completo del estado en el que se encuentra.
- Ciudad / localidad (L): el nombre completo de la ciudad en la que se encuentra.
- Dirección de email: la dirección de email de su organización.
- La clave pública RSA utilizada
El único que afecta la forma en que se procesa su archivo CSR es su nombre común. El nombre de dominio deberá validarse para evitar que registre el dominio de otra persona; Más adelante en el procedimiento, la autoridad de certificación le enviará un desafío para demostrar que es el propietario del dominio, pero el archivo CSR no tiene ningún efecto sobre eso.
RELACIONADO: ¿Qué es un archivo PEM y cómo se utiliza?
El archivo CSR real en sí está en formato PEM y es una gran parte de datos codificados en base64:
-----BEGIN CERTIFICATE REQUEST----- MIICYDCCAUgCAFAwGzEZMBcGA1UEAwwQKi5wcm92aWRlbmNlLnBlbTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALA3vPkQJejmFk20mZT/J2995ibnz9MV 2hd+ltxX0gS9/rDZgGZA8nyPojpXVJbLxJ5PuSqmyZrDA2F3YvCwy13b7QZT/f56 mH3103cVaefhfy+Lc7JSJZtJkw6mVBz9Vz+cpmc3hm0DV3tIZW4L8DKYVQoWl3Ed N0nsHykoI02ZoVdDL+AZU6sNJ2LV9j0LuS2YZkGU7PHsij2W2zROtyL7HdnZp5m6 6e8e6ro9uBoCHBVSEeCDgBHLVQ92IRzPTzpSDr7dYhA2YHPbrjt6T63IgwiR4CU0 2Iq282KasNw1jkyIil9/5GPsqHH5Fw0Le/7Goqrk2Ez3zHwu7pv88AkCAwEAAaAA MA0GCSqGSIb3DQEBCwUAA4IBAQADq9KOCkyLNA7t6RDPatw006CR8zETGqlfnQ2h jxjDZlBWZbAVg6ftEMawxuKRbfw1bmJn53QSMpeX5HiMQLHliw3vsoIsRMPbwdxr j2ydJhYO95ktk4JRvD3/YR8hRYrGD4EYlsC+u1RwWTXXZ9ZjTvDtf4LZccKAysOW vM88R3pWCpDzTg4KWDw1jsq7Y9ISTYuBkd7d+d7GvK/VxITx8kSAgJRGkd54nlet pZdBwdY95Jg0AyecAE5GSNPiHmRTkm/rTXIPOyGY1kO9Mk/c+q+ZTEhH53v5bzUw yrLZuJkNL3KiNbZIWvQ3ljHNeM3+9437n4W3nDTcGL2Bi41n -----END CERTIFICATE REQUEST-----
A pesar de esto, no querrás editar esto manualmente; en su lugar, puede usar una herramienta como OpenSSL para generarlo en su servidor.
Cómo crear un archivo CSR
Si su servidor ejecuta Linux, es probable que ya tenga OpenSSL instalado si ha instalado Apache o Ubuntu. Si no es así, puede instalarlo desde el administrador de paquetes de su distribución:
sudo apt-get install openssl
Después, ejecute el siguiente comando para iniciar el asistente de creación de CSR:
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
Esto generará una nueva clave privada para utilizar a lo largo del procedimiento y guardarla en server.key. Después se le pedirá su información; puede dejar la mayor parte en blanco si lo desea, pero asegúrese de que el nombre común sea correcto.
Su solicitud de firma se guardará en server.csr. Su clave pública está incluida en esta solicitud, pero querrá guardar la clave privada para renovaciones en el futuro.
Después, deberá proporcionar a su autoridad de certificación el archivo CSR para continuar con el procedimiento de creación del certificado SSL. Si está usando certbot, esto se maneja automáticamente y no tendrá que preocuparse en absoluto por los archivos CSR.
