¿RSA o ECDSA, cuál elijo?

**ECDSA P-256** para servidores modernos (Nginx, Apache 2.4+, cualquier stack nuevo). Claves más pequeñas (256 bits frente a RSA-2048), handshakes TLS más rápidos, misma seguridad. **RSA 2048** para sistemas antiguos (Windows Server 2008, embebidos), compatibilidad universal. Let's Encrypt recomienda ECDSA para certificados nuevos.

¿Qué son los SAN y por qué importan?

Los [[SAN||Subject Alternative Names]] son los **dominios extra que cubre el certificado**. Sin SAN el certificado solo vale para el CN (p. ej. example.com). Para cubrir también www.example.com o api.example.com, añádelos a SAN. **En 2025** todos los certificados usan SAN; el CN solo es herencia del SSL de los 90.

¿Qué es la passphrase de la clave y debería ponerla?

Una **clave privada cifrada con passphrase** es segura aunque el archivo se filtre. Sin ella, cualquiera con acceso al archivo controla tu dominio. **Compromiso**: el servidor tiene que conocer la passphrase para arrancar TLS, así que la pide en cada reinicio. Normalmente la guardas en un archivo de config, lo que debilita la protección. **Para producción** se usan HSM o HashiCorp Vault, no una passphrase.

¿El Common Name es legacy?

Sí, **CN quedó deprecated** en favor de SAN por RFC 6125 (2011). La mayoría de navegadores ya ignoran CN y solo comprueban SAN. Pero el **CSR aún necesita un CN** por compatibilidad (toda CA espera uno). Pon el dominio principal en CN y repítelo en SAN.

El país C necesita un código de 2 letras, ¿cuál?

El estándar [[ISO 3166-1 alpha-2||estándar de códigos de país, 2 letras en mayúsculas]]. España = ES, EE. UU. = US, Alemania = DE, Reino Unido = GB. No escribas "ESP" o "España", la CA rechazará el CSR.

¿Mis datos (CN, O, correo) van a vuestro servidor?

**No**. La generación se ejecuta íntegramente en tu navegador (la librería node-forge + Web Crypto API). Abre **DevTools → Network** durante la generación: cero peticiones. La clave privada **no sale** de tu dispositivo.

¿Qué hago con la clave privada tras generarla?

Guárdala en una ruta segura de tu servidor (`/etc/ssl/private/example.com.key` en Linux). Permisos **600 (solo lectura para root)**. Haz backup en un gestor de contraseñas o una caja fuerte. **Nunca la subas a un repositorio de código** (¡gitignore!). Si pierdes la clave, necesitas un CSR nuevo + certificado renovado (la CA no puede ayudar).

¿Puedo reutilizar esta clave para varios dominios?

Sí, la clave privada **no está atada a un dominio concreto**, solo a un certificado. Puedes emitir varios certificados para distintos dominios usando la misma clave. **Pero no es recomendable**: comprometer un servidor expone todos los dominios con esa clave. Buena práctica: una clave, un certificado (o un grupo de SAN).

¿Cómo convierto el CSR en un certificado firmado?

Envía el CSR a tu CA (Let's Encrypt, DigiCert, ...). La CA verifica que controlas el dominio (challenge HTTP o DNS) y luego emite el certificado (.crt). Conéctalo con la clave privada en la config de tu servidor web (Nginx: `ssl_certificate` + `ssl_certificate_key`). Recarga y HTTPS en vivo.

YourDevToolsPro

Generador de CSR

Genera una CSR + clave privada para tu certificado SSL/TLS. RSA, EC. En tu navegador.

LiveFunciona en tu navegador

Generador de CSR + clave privada

Genera un CSR (Certificate Signing Request) y la clave privada correspondiente para solicitar un certificado SSL/TLS. O decodifica un CSR existente para inspeccionar su sujeto y SANs.

Common Name (dominio)*

example.com

Correo

Organización (O)

p. ej. Acme Corp

Unidad (OU)

p. ej. TI, Ingeniería

Ciudad (L)

p. ej. San Francisco

Estado (ST)

p. ej. California

País (C, 2 letras)

ISO 3166: ES, MX, AR, US

Nombres alternativos del sujeto (SANs)

Lista de dominios extra separados por comas. Estándar en certificados modernos.

Algoritmo de clave

Passphrase de la clave privada (opcional)

La clave privada y el CSR se generan localmente en tu navegador. Nada sale de tu dispositivo.

¿Qué es un CSR y cuándo lo necesitas?

Un CSR es el formato estándar para pedir un certificado SSL/TLS a una autoridad de certificación (Let's Encrypt, DigiCert, Sectigo). Rellenas los datos de tu dominio, pulsas Generar y obtienes dos archivos: un CSR (lo envías a la CA) y una clave privada (la guardas en tu servidor, no la compartas nunca).

Aquí generas el par directamente en tu navegador. Soportamos RSA 2048/3072/4096 y ECDSA P-256/P-384 (el default moderno, claves más pequeñas). Añade SAN si el certificado debe cubrir www, api, blog, etc.

La segunda pestaña: pega un CSR existente y decodificamos el subject, los SAN y el algoritmo para que puedas verificarlo antes de mandarlo a una CA.

Todo se ejecuta en local. La clave privada se genera en tu navegador y no se transmite nunca.

Cómo usar

Pestaña Generar: introduce el Common Name (CN), el dominio principal del certificado (p. ej. example.com).
Añade organización (O), unidad (OU), ciudad (L), provincia (ST) y país (C, código ISO de 2 letras: ES, US, DE).
El campo SAN es una lista separada por comas con dominios extra (p. ej. www.example.com, api.example.com). La mayoría de certificados cubren al menos "example.com" y "www.example.com".
Elige el algoritmo: RSA 2048 para máxima compatibilidad, ECDSA P-256 para velocidad y stacks modernos (recomendado por Let's Encrypt en 2025).
Pulsa Generar y obtienes dos archivos: un CSR (envíalo a tu CA, p. ej. pégalo en el panel de Let's Encrypt) y una clave privada (guárdala en tu servidor, no la compartas).
Pestaña Decodificar: pega un CSR existente (p. ej. uno generado con OpenSSL) y ve el subject, los SAN y el algoritmo. Verifícalo antes de mandarlo a una CA.

Cuándo usarlo

Cinco situaciones comunes en las que necesitas generar un CSR:

Certificado Let's Encrypt para tu propio servidor. La mayoría usa certbot/acme.sh (CSR automáticos), pero para setups manuales o casos raros generas uno tú.
Certificado SSL comercial de DigiCert, Sectigo, GlobalSign. Los certificados de pago siempre exigen un CSR desde tu servidor.
**Certificado wildcard (*.example.com)**. Pon CN = "*.example.com" para cubrir todos los subdominios.
Certificado de intranet / staging. El CSR lo firmará la CA interna de tu empresa.
Migrar un certificado a un servidor nuevo. Un CSR nuevo + clave nueva evita exponer la clave antigua.

Para inspeccionar un certificado en producción, usa el Inspector de certificados SSL. Para generar una clave de firma JWT, mira el Generador de pares de claves JWT.

Preguntas y respuestas

Un CSR es una petición. Contiene los datos de tu servidor + tu clave pública + tu firma. Un certificado es la respuesta de la CA: los mismos datos MÁS la firma de la CA, que avala que eres quien dices ser. Los navegadores solo confían en certificados firmados por una CA de confianza (Let's Encrypt, DigiCert, ...).

Quizá también te interese

Herramientas relacionadas

Inspector de certificado SSL

Comprueba certificado SSL/TLS de una URL: emisor, caducidad, cadena, SAN, protocolos.

Generador de par de claves PGP

Crea pares de claves PGP/GPG (RSA, Ed25519) para cifrar correo y firmar archivos.

Generador de par de claves JWT

Genera par de claves para firmar JWT: RSA 2048/3072/4096, EC P-256/P-384, Ed25519.

Generador de par de claves DKIM

Genera el par de claves DKIM para tu dominio + el registro TXT listo para pegar en DNS.

AES Cifrar / Descifrar

Cifra texto con contraseña (AES-GCM 256). Funciona en tu navegador, nada sale del dispositivo.