30.10.2024

2 +1

Seguridad

¿Qué es un CSR y cómo crear uno? Una guía completa paso a paso

Asegurar tu sitio web con HTTPS ya no es opcional — es un requisito fundamental para la confianza del usuario, la protección de datos y el posicionamiento en motores de búsqueda. En el corazón de cada emisión de certificado SSL/TLS se encuentra un componente crítico pero a menudo incomprendido: la Solicitud de Firma de Certificado (CSR). Ya seas desarrollador, administrador de sistemas o propietario de un sitio web, entender cómo generar y enviar correctamente una CSR puede ahorrarte horas de resolución de problemas y garantizar que tu sitio esté debidamente protegido.

En esta guía completa, explicaremos exactamente qué es una CSR, por qué es importante, y te guiaremos a través de múltiples métodos para crear una — incluyendo OpenSSL, cPanel e IIS.

¿Qué Es una CSR (Solicitud de Firma de Certificado)?

Una Solicitud de Firma de Certificado (CSR) es un bloque de texto codificado en Base64 que generas en tu servidor y envías a una Autoridad de Certificación (CA) — como Let’s Encrypt, DigiCert o Sectigo — al solicitar un certificado SSL. La CA lee la información incorporada en la CSR y la utiliza para emitir un certificado firmado digitalmente que habilita HTTPS en tu dominio.

Piensa en una CSR como un formulario de solicitud formal: le indica a la CA quién eres, qué dominio deseas proteger, y proporciona la clave pública criptográfica que se incorporará en el certificado final.

¿Qué Información Contiene una CSR?

Una CSR estándar incluye los siguientes campos:

Campo	Descripción	Ejemplo
Nombre Común (CN)	Nombre de Dominio Completamente Calificado (FQDN) a proteger	`www.example.com`
Nombre de Organización (O)	Nombre legal de la empresa o persona	`Example Corp Ltd`
Unidad Organizacional (OU)	Departamento o división (opcional)	`IT Department`
Localidad (L)	Ciudad donde se encuentra la organización	`New York`
Estado/Provincia (ST)	Nombre completo del estado o provincia	`New York`
País (C)	Código de país ISO de dos letras	`US`
Dirección de Correo Electrónico	Correo electrónico de contacto (opcional)	`admin@example.com`
Clave Pública	Clave criptográfica utilizada para el cifrado	RSA 2048-bit o superior

> Importante: Una CSR no contiene tu clave privada. La clave privada se genera junto con la CSR, pero siempre debe permanecer almacenada de forma segura en tu servidor y nunca compartirse con nadie — incluida la CA.

¿Por Qué Es Importante una CSR?

Comprender el papel de una CSR ayuda a clarificar por qué cada emisión de certificado SSL comienza con este paso.

1. Inicia la Solicitud de Certificado SSL

Sin una CSR, una CA no tiene forma de saber qué dominio deseas proteger, quién es su propietario, o qué clave pública incorporar en el certificado. La CSR es el mecanismo formal que inicia todo el flujo de trabajo de emisión de certificados.

2. Establece la Base Criptográfica

La CSR contiene tu clave pública, que está matemáticamente emparejada con tu clave privada. Juntas, estas claves forman la columna vertebral del cifrado asimétrico de SSL/TLS. Cuando un navegador se conecta a tu servidor, utiliza la clave pública (del certificado) para cifrar los datos, y tu servidor utiliza la clave privada para descifrarlos — garantizando que ningún tercero pueda interceptar la comunicación.

3. Permite la Validación de Identidad

Dependiendo del tipo de certificado SSL que estés solicitando, la CA realizará diferentes niveles de verificación de identidad utilizando la información de tu CSR:

Validación de Dominio (DV): La CA verifica únicamente que controlas el dominio. Rápida y automatizada.
Validación de Organización (OV): La CA verifica la existencia legal de tu organización además del control del dominio.
Validación Extendida (EV): La verificación más rigurosa — la CA verifica la identidad legal, dirección física y estado operativo.

Si gestionas un sitio web empresarial o una plataforma de comercio electrónico, elegir el nivel de validación correcto es importante. Puedes explorar la gama de Certificados SSL de AlexHost para encontrar la opción que mejor se adapte a tus requisitos de seguridad.

Cómo Crear una CSR: Instrucciones Paso a Paso

Crear una CSR implica dos pasos principales: generar una clave privada y luego usar esa clave para producir el archivo CSR. A continuación, cubrimos los métodos más comunes.

Método 1: Usando OpenSSL (Linux, macOS, Windows)

OpenSSL es la herramienta más ampliamente utilizada y universalmente disponible para generar CSRs. Funciona en servidores Linux, macOS y Windows (con OpenSSL instalado).

#### Paso 1: Generar una Clave Privada

Abre tu terminal (o símbolo del sistema en Windows) y ejecuta el siguiente comando:

openssl genrsa -out private.key 2048

Qué hace esto:

genrsa — genera una clave privada RSA
-out private.key — guarda la clave en un archivo llamado private.key

2048 — especifica la longitud de la clave en bits (2048-bit es el mínimo recomendado; usa 4096 para mayor seguridad)

> Consejo de seguridad: Almacena private.key en un directorio seguro con acceso restringido. Nunca lo subas a una ubicación pública ni lo compartas por correo electrónico.

#### Paso 2: Generar la CSR

Con tu clave privada creada, ejecuta el siguiente comando para generar la CSR:

openssl req -new -key private.key -out yourdomain.csr

OpenSSL te pedirá que completes los campos de la CSR de forma interactiva:

Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: California
Locality Name (eg, city) []: San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Corp Ltd
Organizational Unit Name (eg, section) []: IT Department
Common Name (e.g. server FQDN or YOUR name) []: www.example.com
Email Address []: admin@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

> Consejo profesional: Deja en blanco el campo “challenge password” a menos que tu CA lo requiera específicamente. Añade complejidad sin un beneficio de seguridad significativo en la mayoría de los flujos de trabajo modernos.

Una vez completado, tu CSR se guarda en yourdomain.csr. Puedes ver su contenido con:

openssl req -text -noout -verify -in yourdomain.csr

#### Paso 3: Generar la Clave y la CSR en un Solo Comando

Para mayor eficiencia, puedes combinar los Pasos 1 y 2 en un solo comando:

openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out yourdomain.csr

Esto genera la clave privada y la CSR simultáneamente, solicitándote la misma información de campos.

#### Paso 4: Enviar la CSR a tu Autoridad de Certificación

Abre el archivo yourdomain.csr en un editor de texto y copia todo su contenido — incluyendo las líneas -----BEGIN CERTIFICATE REQUEST----- y -----END CERTIFICATE REQUEST-----. Pega esto en el formulario de envío de tu CA al comprar o renovar tu certificado SSL.

#### Paso 5: Proteger tu Clave Privada

Después de recibir e instalar tu certificado SSL, asegúrate de que private.key:

Esté almacenado con permisos de archivo restringidos (chmod 600 private.key en Linux)
Tenga una copia de seguridad en una ubicación segura y cifrada
Nunca se transmita a través de canales inseguros

Si la clave privada se pierde o se ve comprometida, debes generar un nuevo par de claves, crear una nueva CSR y solicitar la reemisión del certificado.

Método 2: Usando cPanel (Hosting Compartido y VPS)

Si tu entorno de hosting utiliza cPanel, puedes generar una CSR directamente a través de la interfaz gráfica — sin necesidad de experiencia en línea de comandos. Esto es ideal para usuarios en Hosting Web Compartido o un VPS con cPanel.

Pasos:

Inicia sesión en tu cuenta de cPanel.
Navega a la sección Seguridad y haz clic en SSL/TLS.
En Solicitudes de Firma de Certificado (CSR), haz clic en “Generar, ver o eliminar solicitudes de firma de certificado SSL.”
Completa los campos del formulario CSR:

Tamaño de Clave: Selecciona 2048 (recomendado) o 4096 bits
Dominios: Ingresa tu FQDN (p. ej., www.example.com)
Ciudad, Estado, País: Detalles de ubicación de tu organización
Empresa y División: Nombre legal de la organización y departamento
Correo Electrónico: Dirección de correo electrónico de contacto

Haz clic en Generar.
cPanel mostrará tu CSR. Copia el texto completo y envíalo a tu CA.

> cPanel también almacena tu clave privada automáticamente y la asocia con la CSR, simplificando el paso posterior de instalación del certificado.

Método 3: Usando IIS en Windows Server

Para administradores que gestionan sitios web en Windows Server con Internet Information Services (IIS), el Administrador de IIS proporciona un asistente integrado de generación de CSR.

Pasos:

Abre el Administrador de IIS (inetmgr).
En el panel de Conexiones de la izquierda, selecciona el nombre de tu servidor (no un sitio específico).
En el panel central, haz doble clic en Certificados de Servidor.
En el panel de Acciones de la derecha, haz clic en Crear Solicitud de Certificado…
Completa las Propiedades de Nombre Distintivo:

Nombre común, Organización, Unidad organizacional, Ciudad, Estado, País

Haz clic en Siguiente.
En la página de Propiedades del Proveedor de Servicios Criptográficos:

Proveedor de servicios criptográficos: Microsoft RSA SChannel Cryptographic Provider
Longitud de bits: 2048 (mínimo) o 4096

Haz clic en Siguiente, elige una ruta de archivo para guardar la CSR y haz clic en Finalizar.
Abre el archivo .txt guardado, copia su contenido y envíalo a tu CA.

> Nota: IIS almacena la clave privada pendiente internamente. No elimines la solicitud pendiente del Administrador de IIS hasta que hayas instalado correctamente el certificado emitido.

Generación de CSR: Comparación Rápida de Métodos

Método	Plataforma	Nivel de Habilidad	Ideal Para
OpenSSL CLI	Linux, macOS, Windows	Intermedio	Desarrolladores, administradores de sistemas, usuarios de VPS
cPanel GUI	Cualquier hosting basado en cPanel	Principiante	Hosting compartido, usuarios de VPS administrado
IIS Manager	Windows Server	Intermedio	Servidores web basados en Windows

Errores Comunes en la CSR que Debes Evitar

Incluso los administradores experimentados ocasionalmente cometen errores al generar CSRs. Aquí están los errores más comunes:

Usar un Nombre Común incorrecto: El CN debe coincidir exactamente con el dominio que deseas proteger. Para un certificado wildcard, usa *.example.com. Para un certificado multi-dominio (SAN), la interfaz de tu CA gestionará los dominios adicionales por separado.

Abreviar el campo Estado/Provincia: Siempre escribe el nombre completo (p. ej., “California,” no “CA”). Algunas CAs rechazarán las entradas abreviadas.

Perder la clave privada: La CSR y la clave privada son un par coincidente. Si pierdes la clave privada antes de instalar el certificado, deberás empezar de nuevo.

Usar un tamaño de clave inferior a 2048 bits: Las CAs y navegadores modernos requieren un mínimo de claves RSA de 2048 bits. Usar algo menor resultará en rechazo o advertencias del navegador.

Reutilizar CSRs antiguas: Siempre genera una CSR nueva para cada nueva solicitud de certificado o renovación. Reutilizar CSRs puede introducir riesgos de seguridad y puede ser rechazado por algunas CAs.

Después de la CSR: Instalación de tu Certificado SSL

Una vez que tu CA valide tu CSR y emita el certificado, recibirás uno o más archivos .crt o .pem. Los pasos de instalación varían según la plataforma:

Apache/Nginx en Linux: Configura las rutas de los archivos de certificado en tu configuración de host virtual
cPanel: Usa el Administrador SSL/TLS para instalar el certificado con la clave privada correspondiente
IIS: Usa “Completar Solicitud de Certificado” en el Administrador de IIS para importar el certificado emitido
Plesk / DirectAdmin: Usa las interfaces integradas de gestión de certificados SSL

Para usuarios en Hosting VPS o Servidores Dedicados, tienes acceso root completo para gestionar la instalación del certificado directamente a través de la línea de comandos o tu panel de control preferido.

Preguntas Frecuentes Sobre las CSRs

¿Puedo reutilizar una CSR para múltiples certificados?

Técnicamente sí, pero está fuertemente desaconsejado. Cada solicitud de certificado debe usar una CSR y un par de claves recién generados para mantener una higiene de seguridad adecuada.

¿Cuánto tiempo es válida una CSR?

Una CSR en sí misma no caduca, pero el certificado emitido a partir de ella sí (típicamente 1 año para los certificados SSL modernos). Debes generar una nueva CSR cada vez que renueves tu certificado.

¿Cuál es la diferencia entre una CSR y un certificado?

Una CSR es tu *solicitud* para obtener un certificado. El certificado es el *documento emitido* por la CA, firmado con la clave privada de la CA, en el que confían los navegadores.

¿Necesito una CSR para Let’s Encrypt?

El protocolo ACME de Let’s Encrypt (utilizado por herramientas como Certbot) maneja la generación de CSR automáticamente en segundo plano. Sin embargo, también puedes proporcionar una CSR personalizada si es necesario.

Conclusión

Una Solicitud de Firma de Certificado (CSR) es el primer paso esencial para obtener un certificado SSL/TLS para tu sitio web. Empaqueta tu clave pública e identidad organizacional en un formato estandarizado que las Autoridades de Certificación utilizan para emitir certificados de confianza — habilitando HTTPS, cifrando los datos de los usuarios y generando confianza en los visitantes.

Ya sea que estés usando OpenSSL en un VPS Linux, la interfaz gráfica de cPanel en un plan de hosting compartido, o el Administrador de IIS en un Windows Server, el proceso sigue los mismos principios fundamentales: genera una clave privada segura, crea la CSR con información precisa, envíala a tu CA y protege tu clave privada en todo momento.

¿Listo para proteger tu sitio web? Explora los Certificados SSL de AlexHost para una variedad de opciones adecuadas para cada tamaño de proyecto y presupuesto — desde la validación básica de dominio hasta certificados de validación extendida para entornos empresariales. Combina tu certificado SSL con un fiable Hosting VPS o Servidores Dedicados para garantizar que tu infraestructura sea tan robusta como tu postura de seguridad.

Ahorra 15%<\/span> en todos los servicios de hosting