Al contratar o instalar un certificado SSL (Secure Socket Layer) podemos encontrarnos que, según el proveedor con el que trabajemos, obtendremos una serie ficheros que puede variar. Por lo tanto, es esencial conocer los diferentes tipos de ficheros que componen un certificado
En esta entrada, podremos conocer los tipos de ficheros más comunes en un certificado SSL: CRT, KEY, CSR, CA, PEM y PFX.
CRT (Certificate)
Contiene el certificado digital en sí. Este certificado es emitido por una entidad certificadora (CA) y contiene información como el nombre del dominio, la clave pública del servidor y la firma digital de la entidad certificadora.
KEY (Private Key)
Se trata La clave privada que ha sido generada en el servidor donde se ha generado. Esta clave es secreta y debe mantenerse de manera segura, ya que se utiliza para descifrar la información cifrada por el certificado. Nunca debe compartirse públicamente ni incluirse en un repositorio de código abierto. La combinación de la clave privada KEY y el certificado CRT permite la autenticación segura del servidor.
CSR (Certificate Signing Request)
El CSR es un fichero que se genera en el servidor web donde se instalará el certificado SSL. Contiene la clave pública y la información sobre el dominio para el que se solicita el certificado. El CSR se envía a una Autoridad de Certificación (CA) para su firma. La Entidad certificadora (CA) utiliza la información del CSR para crear el CRT. Una vez generado el CRT, este fichero ya no será de utilidad para la instalación del certificado.
CA (Certificate Authority)
Este fichero no es estrictamente parte del certificado SSL, pero es vital para entender cómo funciona. Este fichero contiene la clave pública de la entidad certificadora que emitió el certificado. Los navegadores web confían en determinadas CA para validar la autenticidad de los certificados SSL. Por lo tanto, incluir el fichero CA en el proceso de verificación es esencial para garantizar que el certificado sea confiable. Este tipo de certificado también suele llamarse certificado intermedio. En Dinahosting tramitamos certificados con las entidades certificadoras Globalsign y Lets Encrypt.
PEM (Privacy Enhanced Mail)
Se trata de un formato genérico que puede contener diferentes tipos de datos, incluyendo certificados CRT y claves privadas KEY o incluso la entidad certificadora CA. Es común utilizar ficheros PEM para simplificar la administración de certificados SSL.
PFX (Personal Information Exchange)
Este formato de archivo, combina el certificado y la clave privada en un único fichero encriptado con una contraseña. A menudo se utiliza en sistemas Windows y es conveniente para exportar e importar certificados y claves privadas, lo que resulta especialmente útil en entornos donde la seguridad de la clave privada es una preocupación.
¿Qué ficheros de certificado necesitamos en Dinahosting?
Si en lugar de contratar los certificados que ofrecemos en nuestra web, donde nos encargaríamos nosotros de todo el proceso de tramitación e instalación, prefieres utilizar un certificado propio o traer el certificado que has generado en otro sitio, en el menú principal de tu panel de control del hosting, dispones un botón “Instalar” donde podrás instalar un certificado externo.
Como puedes observar, los ficheros que solicitamos en nuestro formulario son CRT, KEY y CA(certificado intermedio).
Como extraer de un fichero PEM el CRT y KEY
Dado que el formulario de instalación no permite añadir un fichero PEM debido a que este puede contener uno o varios ficheros distintos. En algunos casos tendremos que obtener CRT y KEY de un fichero PEM. Para hacerlo simplemente tendremos que abrir nuestro fichero PEM en un editor de texto, como por ejemplo bloc de notas que está incluido en todos los sistemas Windows, en el caso de Linux puedes abrirlo con el comando nano, vim, emacs o cualquier otro disponible.
Al abrir el fichero podemos diferenciar claramente un código de caracteres compuesto de números y letras encabezado y finalizado por unas líneas muy concretas:
El fichero CRT estará encabezado y finalizado de la siguiente forma, simplemente debemos copiar este fragmento, incluyendo las líneas del encabezado y finalización (BEGIN y END) y pegarlos en el campo CRT del formulario de certificado de nuestra web.
—–BEGIN CERTIFICATE—–
—–END CERTIFICATE—–
El fichero KEY estará encabezado y finalizado de la siguiente forma, igual que en el caso anterior, copiamos y pegamos en el campo KEY del formulario de certificado de nuestra web.
—–BEGIN PRIVATE KEY—–
—–END PRIVATE KEY—–
Convertir un fichero PFX a PEM
Existe un comando para servidores Linux que convierte el fichero PFX a PEM. Para hacer la conversión de tu fichero, accede por FTP a tu alojamiento y sube el fichero PFX, una vez subido accede por consola SSH a tu alojamiento para ejecutar lo siguiente:
openssl pkcs12 -in tufichero.pfx -out cert.pem -nodes
El comando solicitará la contraseña de tu fichero PFX y convertirá “tufichero.pfx” a “cert.pem”. Recuerda cambiar en tu comando “tufichero.pfx” por el nombre de fichero de tu PFX.
Del mismo modo que se comenta en el punto anterior, de este nuevo fichero PEM podrás extraer el CRT y KEY.
Resumiendo, los certificados SSL se componen de varios tipos de ficheros, y cada uno tiene un propósito específico. Comprender la función de los distintos ficheros es fundamental a la hora de tramitar, instalar y poner en funcionamiento un certificado. También es muy importante asegurarse de que estos elementos se almacenan y se emiten de forma segura.