Esta guía explica cómo…

1. … generar una CSR y clave privada para solicitar un certificado de un tercero a una autoridad de certificación (CA),
2. … importar este certificado para tu sitio Infomaniak, gracias al CRT obtenido de la CA.

Prólogo

• Aunque Infomaniak ofrece todos los certificados SSL que podrías necesitar…
  • certificados gratuitos Let's Encrypt para los sitios personales (solo posible con los sitios alojados en Infomaniak),
  • certificados DV de Sectigo para los sitios profesionales/particulares que no están inscritos en el registro mercantil,
  • certificados EV de Sectigo para las empresas inscritas en el registro mercantil,
• … también es posible instalar un certificado SSL obtenido en otro lugar (certificado intermedio de una autoridad de certificación de su elección), certificados personalizados o auto-firmados.

1. Generar una CSR (Solicitud de Firma de Certificado)

Una CSR (Certificate Signing Request o Solicitud de Firma de Certificado) es un archivo codificado que contiene la información necesaria para solicitar un certificado SSL/TLS.

Debe generarse desde su lado para garantizar que la clave privada permanezca bajo su control, utilizando por ejemplo OpenSSL.

Adapte y ejecuta el siguiente comando desde una aplicación de tipo Terminal (interfaz de línea de comandos, CLI /Command Line Interface) en tu dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Explicaciones

• newkey rsa:2048: Genera una nueva clave RSA de 2048 bits.
• keyout domain.xyz.key: Especifica el archivo donde se guardará la clave privada.
• out domain.xyz.csr: Especifica el archivo donde se guardará la CSR.
• addext “subjectAltName = ...”: Añade dominios adicionales a través de la extensión SAN (Subject Alternative Name), necesaria para incluir todos los dominios deseados en el certificado (el dominio principal domain.xyz + cualquier otro dominio o subdominio asociado, como www.domain.xyz).

Después de la generación, puede verificar el contenido de la CSR con el siguiente comando:

openssl req -in domain.xyz.csr -noout -text

Esto permite verificar que todos los dominios listados en subjectAltName están correctamente incluidos.

Una vez generada la CSR, puede enviarla a la autoridad de certificación (CA) para obtener su certificado SSL/TLS.

2. Importar el certificado externo

Una vez validada, la CA le entrega un certificado (domain.xyz.crt) y a veces un certificado intermedio (ca_bundle.crt). Para acceder a la gestión de los certificados SSL:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al producto en cuestión.
3. Haga clic en Certificados SSL en el menú lateral izquierdo.
4. Haga clic en el botón azul Instalar un certificado:
   
5. Seleccione el certificado personalizado.
6. Haga clic en el botón Siguiente:
   
7. Importe su certificado y clave privada, ya sea importando los archivos .crt y .key o pegando.
8. Haga clic en Completar:
   

Comando alternativo para generar un certificado autofirmado (opcional)

Si desea un certificado local solo para pruebas o sin pasar por una CA (no recomendado para producción), puede usar este comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Esto genera tanto un certificado auto-firmado (domain.xyz.crt) como una clave privada (domain.xyz.key). Sin embargo, los certificados auto-firmados no son reconocidos como válidos por los navegadores o sistemas públicos. Solo son adecuados para entornos internos o de desarrollo.

Importar un certificado intermedio

Al agregar un certificado SSL personalizado, es posible importar el certificado intermedio (mediante la importación del archivo .crt o pegando los datos proporcionados por la entidad certificadora):