Antes de que pueda generar su certificado SSL, el solicitante del certificado debe crear una solicitud de firma de certificado (CSR) para un nombre de dominio o nombre de host en su servidor web.

El CSR es una forma estandarizada de enviar a la Autoridad de Certificación (CA) emisora su clave pública, que se empareja con una clave privada secreta en el servidor, y proporciona información relevante sobre el solicitante como se indica a continuación:

• Nombre Común (CN): Este es el nombre de dominio completo (FQDN) de su servidor (por ejemplo, www.nodored.com). Debe coincidir exactamente con lo que escribe en su navegador web o puede recibir un error de seguridad.
• Nombre de la organización (O): El nombre legal de su empresa / organización (es decir, por ejemplo Netgocios Cia. Ltda.). No abrevie el nombre de su empresa y debe incluir el identificador corporativo como Inc., Corp, CA, Cia. Ltda., LLC, etc (si corresponde). Para pedidos de Certificados con Validacion de Dominio (DV), puede usar su nombre personal (por ejemplo, Carlos Pérez).
• Unidad de organización (OU): La unidad o división de la empresa / organización que administra el certificado (por ejemplo, el Departamento de TI).
• Localidad (L): La ciudad en la que se encuentra (por ejemplo, Quito)
• Nombre del Estado o Provincia (ST): El estado o provincia en la que se encuentra (por ejemplo, Pichincha)
• País (C): El país en el que se encuentra (por ejemplo, Ecuador o EC)
• Dirección de correo electrónico: Una dirección de correo electrónico asociada con la empresa (es decir, webmaster@ejemplo.com)
• Longitud de la raíz: La longitud de bits del par de claves determina la fuerza de la clave y la facilidad con que se puede descifrar con los métodos de fuerza bruta. El tamaño de clave de 2048 bits es el nuevo estándar de la industria y se utiliza para garantizar la seguridad en el futuro previsible.
• Algoritmo de firma: Los algoritmos de hash se utilizan mediante la emisión de Autoridades de Certificación para firmar certificados y CRL (Lista de Revocación de Certificados) para generar valores de hash únicos de los archivos. Es altamente recomendable que su certificado sea firmado con SHA-2 ya que este es el algoritmo de firma más fuerte adoptado por la industria.

Como se mencionó anteriormente, además de crear un CSR, el servidor web también exportará otro archivo llamado clave privada. La clave privada es una clave criptográfica única relacionada con el CSR correspondiente y nunca debe compartirse con nadie fuera de su entorno de servidor seguro.

La clave privada se utiliza matemáticamente para descifrar los datos confidenciales que se transmiten y cifran con su clave pública correspondiente y viceversa. Si la clave privada se pierde o se ve comprometida, los usuarios malintencionados podrían leer sus comunicaciones cifradas y poner en riesgo la reputación de su organización, lo que anula toda la metodología detrás de la Infraestructura de clave pública (PKI).

Si la clave privada se pierde o se ve comprometida, recomendamos encarecidamente crear un nuevo par de claves y reemplazar o volver a emitir su certificado SSL.

Ejemplo de una solicitud de firma de certificado (CSR)

| La mayoría de la solicitud de firma de certificado (CSR) se crean en el formato PEM codificado en Base-64 e incluyen las líneas “—–BEGIN CERTIFICATE REQUEST––“ y “—–END CERTIFICATE REQUEST—–“ como las etiquetas de encabezado y pie de página del CSR. Un formato estándar de PEM CSR se verá como el siguiente ejemplo:

-----BEGIN CERTIFICATE REQUEST----- MIIDGDCCAgACAQAwgakxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRYwFAYDVQQKEw1Hb29nbGUsIEluYy4g MRcwFQYDVQQLEw5JVCBEZXB0YXJ0bWVudDEXMBUGA1UEAxMOd3d3Lmdvb2dsZS5j b20xIzAhBgkqhkiG9w0BCQEWFHdlYm1hc3RlckBnb29nbGUuY29tMIIBIjANBgkq hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq3NT5DBBDql5gTB4/6Zsq/C1iwO4yBD2 nThaNfO1qHKUjnFz0oua+54x97TjmHItRH5H+jPJvmzzb4TUJ274CRFhquOOMZVM dVIG9FUjogJstMqv4GtBC4C/ype0ilAcPEBjRi9bFiR/g43qPCnlRAJNo4cJko7n W7erAJsRPNiQMr5UJN9h3GuQMPw6uaI/0OWuWjSTLzEBMujHhPySgZIv1SurVXDz iFC6S6qvc9XQ1z6tkmrttdoOfDI+eT75QxysHmctgAvkZaFEoRASqcqf3iYyl9Qw mh0xuLSoR9HTvaD9DhxAIa4/1+l6D9MGb/01+lip7AjqdnTTzSBfcQIDAQABoCkw JwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG 9w0BAQsFAAOCAQEAZyMkFtElkS3vQoCPVHevrFcPgrx/Fqx0UdQdnf2RyoJ3jqiU yPo5+5BHA9kY0TuJLhgMIq0QWAbzZYNL0+J8UUcx8EvMK6DqPpKteyYFCMw6GEzu diq4RE/8Ea9UpGbw8GH1oEsUksBTwrs06OSOVgDXkJ1XY4VaRkMPflgQWGULgKYO 2P/zcFowENruGLJO7ynyUkm5idKdYzDqk7c7bqyLywOEPxSRKVyblmzqiFCOlCqp HozZ9+5TmrMPD/hO1uHVECcL08RMGXoGMajojI8CE+cmkaWLq3PZt08Sv0F/Itop O8XAZ2bYTK4HQfPm+Fud22SD+DkSwt8vN8Lu2g== -----END CERTIFICATE REQUEST-----

Si crea un CSR y desea verificar la precisión de los detalles contenidos (es decir, el nombre común, el nombre de la organización, etc.), puede descodificar fácilmente el texto cifrado con nuestro decodificador CSR. Esta herramienta se usa comúnmente para solucionar los mensajes de error recibidos durante el proceso de generación.