Descripción general de solicitud de firma de certificado (CSR)

Antes de que pueda generar su certificado SSL, el solicitante del certificado debe crear una solicitud de firma de certificado (CSR) para un nombre de dominio o nombre de host en su servidor web. El CSR es una forma estandarizada de enviar a la Autoridad de certificación (CA) emisora ​​su clave pública, que se empareja con una clave privada secreta en el servidor y proporciona información relevante sobre el solicitante, como se indica a continuación:

  1. Nombre común (CN): Este es el nombre de dominio completo (FQDN) de su servidor (por ejemplo, www.google.com) . Esto debe coincidir exactamente con lo que escribe en su navegador web o puede recibir un error de seguridad.
  2. Nombre de la organización (O): El nombre legal de su empresa/organización (por ejemplo, Google, Inc.) . No abrevie el nombre de su empresa y debe incluir el identificador corporativo como Inc., Corp o LLC (si corresponde). Para pedidos DV, puede usar su nombre personal (es decir, John Doe).
  3. Unidad organizativa (OU): La unidad o división de la empresa/organización que gestiona el certificado (por ejemplo, Departamento de TI).
  4. Localidad (L): La ciudad en la que se encuentra (por ejemplo, Mountain View)
  5. Nombre del estado o provincia (ST): El estado o provincia en el que se encuentra (por ejemplo, California)
  6. País (C): El país en el que se encuentra (por ejemplo, US)
  7. Dirección de correo electrónico: Una dirección de correo electrónico asociada con la empresa (por ejemplo, webmaster@google.com)
  8. Longitud de la raíz: La longitud de bits del par de claves determina la fuerza de la clave y la facilidad con la que se puede descifrar utilizando métodos de fuerza bruta. El tamaño de clave de 2048 bits es el nuevo estándar de la industria y se utiliza para garantizar la seguridad en el futuro previsible.
  9. Algoritmo de firma: Las autoridades emisoras de certificados utilizan algoritmos hash para firmar certificados y CRL (Lista de revocación de certificados) para generar valores hash únicos a partir de archivos. Se recomienda enfáticamente que su certificado esté firmado con SHA-2, ya que este es el algoritmo de firma más fuerte adoptado por la industria.

Como se mencionó anteriormente, además de crear una CSR, el servidor web también exportará otro archivo llamado clave privada. La clave privada es una clave criptográfica única relacionada con la CSR correspondiente y nunca debe compartirse con nadie fuera de su entorno de servidor seguro. La clave privada se utiliza matemáticamente para descifrar cualquier dato sensible que se transmita y cifrar con su correspondiente clave pública y viceversa. Si la clave privada se pierde o se ve comprometida, los usuarios maliciosos podrían leer sus comunicaciones cifradas y poner en riesgo la reputación de su organización, lo que anula toda la metodología detrás de la infraestructura de clave pública (PKI). Si la clave privada se pierde o se ve comprometida, recomendamos crear un nuevo par de claves y reemplazar o volver a emitir su certificado SSL.