Cómo generar el CSR
Qué necesita
Para generar una CSR necesitará acceso a un terminal UNIX en un sistema con OpenSSL o equivalente instalado. No es necesario utilizar específicamente la computadora en la cual se instalará el certificado para generar la CSR.
O csrgenerator.com en línea.
Algunos ejemplos de posibles sistemas:
- Su computadora habitual, si utiliza Linux o OS X / macOS.
- Un servidor Gandi Cloud.
- Un alojamiento Web (incluso si tiene la intención de utilizar el certificado en un host externo)[¹].
- Un servidor de producción (accesible) operando con Unix o Linux
- Una computadora Windows con OpenSSL Windows instalado.
- Csrgenerator.com
[¹] Por ejemplo, puede aprovechar el periodo de prueba de 10 días de un paquete de alojamiento si nunca lo ha utilizado antes.
Definir el "Common name"
Al generar el CSR, se le pedirá el "Common name". Se trata del nombre de dominio o dirección principal que desea proteger con su certificado. Para más información, haga clic aquí:
https://docs.gandi.net/en/ssl/create/common_name.html
Ejecutar el comando
Para generar la CSR, copie y pegue el siguiente comando en su terminal en cualquiera de los sistemas enumerados anteriormente:
openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8
A continuación se explican algunos de los elementos de este comando. También puede leer la documentación de OpenSSL:
https://www.openssl.org/docs/man3.0/man1/openssl-req.html
- -newkey rsa:2048: Genera una solicitud CSR y una clave privada utilizando cifrado RSA de 2048 bits. Sólo se puede utilizar el cifrado de 2048 bits cuando se utiliza este certificado en un Gandi Web Hosting
- -sha-256: Utiliza el algoritmo SHA-256 o SHA-2. Tras la depreciación de los certificados que utilizan SHA-1, nuestro socio Sectigo emitirá automáticamente certificados SHA-2, si el CSR está firmado SHA-1 o SHA-2.
- -keyout myserver.key: Guarda el archivo de clave privada como "myserver.key", en el directorio donde se ejecutó el comando. Puede modificar este nombre (parámetro) para una mayor visibilidad y seguimiento[²].
- -out servidor.csr: Guarda el archivo CSR como "server.csr", en el directorio donde se ejecutó el comando. Puede modificar este nombre (parámetro) para mayor claridad y seguimiento[²].
- -utf8: Esta opción hace que los valores de campo se interpreten como cadenas UTF8. Se utiliza para dominios IDN (acentuados).
Tras realizar el pedido, se le solicitará que ingrese sus datos de identidad. Esta es la información que verificará la Autoridad de Certificación cuando autorice la emisión de su certificado SSL. Esto incluye :
- Nombre del país: nombre del país, en forma de código de dos letras (FR para Francia, US para Estados Unidos, MX para México etc.)
- Nombre del Estado o Provincia: Introduzca el nombre de su estado, región o provincia. No utilice abreviaciones.
- Nombre de la localidad: Indique el nombre de su localidad.
- Nombre de la organización: Ingrese el nombre de su empresa u organización, por ejemplo, el nombre de su empresa o el nombre de su asociación. Este campo es opcional para los certificados SSL estándar, pero obligatorio para los certificados Pro o Business.
- Nombre de la unidad de organización: Especifique el nombre de una organización de su empresa, por ejemplo, su departamento de TI.
- Nombre común: Indique el nombre de dominio (ejemplo.com) o la dirección (dev.ejemplo.com) que desea proteger. Para más detalles, consulte la sección anterior de esta página.
- Dirección de correo electrónico: Introduzca una dirección de correo electrónico. Esta información no es obligatoria, pero se recomienda encarecidamente.
- Contraseña de seguridad: Esta opción se utiliza muy poco. Recomendamos dejar el campo en blanco.
- Un nombre de empresa opcional: Le recomendamos que deje este campo en blanco.
Una vez que el comando haya terminado de ejecutarse, encontrarás dos archivos: un archivo .csr público y un .key privado. Esta clave privada debe mantenerse siempre en secreto. Sólo tú debes tener acceso a este archivo, y lo necesitarás para instalar el certificado. No se puede sustituir ni reemplazar. Divulgarla puede provocar la revocación de su SSL.
Abra y copiar el archivo CSR
Una vez generado el CSR, debería poder copiar su contenido y pegarlo en el campo correspondiente de la interfaz de Gandi durante el proceso de pedido. Puede abrir el archivo con un simple editor de texto, o mediante el comando cat myserver.csr en un terminal. Al copiarlo, asegúrese de seleccionar todo el contenido, incluyendo:
-----BEGIN CERTIFICATE REQUEST-----
… texto …
-----END CERTIFICATE REQUEST-----
Nota
El archivo .csr contiene la CSR y el archivo .key contiene la clave privada. No son intercambiables. Por lo tanto, es importante utilizar el archivo correcto al realizar el pedido. Asimismo, si genera varios CSR, tenga cuidado de no confundir las claves privadas.