Que Es una CSR?
Una Certificate Signing Request (CSR) o Solicitud de Firma de Certificado es un bloque de texto codificado que envias a una Autoridad Certificadora (CA) para solicitar un certificado SSL/TLS. Contiene tu clave publica e informacion sobre tu organizacion y dominio.
Que Contiene una CSR
Una CSR contiene los siguientes campos:
| Campo | Abreviacion | Ejemplo |
|---|---|---|
| Nombre Comun | CN | www.ejemplo.com |
| Organizacion | O | Ejemplo S.A. |
| Unidad Organizacional | OU | Departamento de TI |
| Ciudad | L | Ciudad de Mexico |
| Estado | ST | CDMX |
| Pais | C | MX (codigo ISO de 2 letras) |
| Clave Publica | - | RSA 2048-bit o ECDSA |
Como Funciona la Emision de Certificados SSL
- Generar par de claves: Creas una clave privada y CSR en tu servidor
- Enviar CSR: Envias la CSR a una Autoridad Certificadora (Let's Encrypt, DigiCert, etc.)
- Verificacion: La CA verifica que posees el dominio (validacion DNS, HTTP o email)
- Certificado emitido: La CA firma tu clave publica y devuelve el certificado
- Instalar: Instalas el certificado en tu servidor web
Generando una CSR con OpenSSL
# Generar clave privada y CSR en un comando
openssl req -new -newkey rsa:2048 -nodes \
-keyout servidor.key -out servidor.csr \
-subj "/C=MX/ST=CDMX/L=Ciudad de Mexico/O=Ejemplo SA/CN=www.ejemplo.com"
# Ver contenido de la CSR
openssl req -in servidor.csr -noout -textFormato de la CSR
Una CSR esta codificada en Base64 y se ve asi:
-----BEGIN CERTIFICATE REQUEST-----
MIICYDCCAUgCAQAwGzEZMBcGA1UEAwwQd3d3LmV4YW1wbGUuY29t
... (datos codificados en base64) ...
-----END CERTIFICATE REQUEST-----Errores Comunes
- Perder la clave privada despues de generar la CSR (necesitaras regenerar ambas)
- Usar tamano de clave menor a 2048 bits (la mayoria de CAs las rechazan)
- No coincidir el nombre del dominio en la CSR con tu dominio real
- Incluir prefijo www cuando necesitas certificado para dominio raiz (o viceversa)
Decodifica y verifica cualquier CSR al instante con el Decodificador de CSR de PureTools. Pega tu CSR para ver todos los campos, tamano de clave, algoritmo de firma y verificar que este formateada correctamente antes de enviarla a una CA.