Esta guía explica cómo…

1. … generar una CSR y clave privada para solicitar un certificado de una entidad de certificación (CA),
2. … importar este certificado para su sitio Infomaniak, gracias al CRT obtenido de la CA.

Prólogo

• Aunque Infomaniak ofrece todos los certificados SSL que pueda necesitar…
  • certificados gratuitos Let's Encrypt para los sitios personales (solo posible con los sitios alojados en Infomaniak),
  • certificados DV de Sectigo para los sitios profesionales/particulares que no están inscritos en el registro mercantil,
  • certificados EV de Sectigo para las empresas inscritas en el registro mercantil,
• … también es posible instalar un certificado SSL obtenido en otro lugar (certificado intermedio de una entidad de certificación de su elección), certificados personalizados o auto-firmados.

1. Generar una CSR (Certificate Signing Request)

Una CSR (Certificate Signing Request o Solicitud de Firma de Certificado) es un archivo codificado que contiene la información necesaria para solicitar un certificado SSL/TLS.

Debe ser generada por su parte, para garantizar que la clave privada permanezca bajo su control, utilizando por ejemplo OpenSSL.

Adapte y ejecute el siguiente comando desde una aplicación de tipo Terminal (interfaz de línea de comandos, CLI /Command Line Interface) en su dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Explicaciones

• newkey rsa:2048: Genera una nueva clave RSA de 2048 bits.
• keyout domain.xyz.key: Especifica el archivo donde se guardará la clave privada.
• out domain.xyz.csr: Especifica el archivo donde se guardará la CSR.
• addext “subjectAltName = ...”: Añade dominios adicionales a través de la extensión SAN (Subject Alternative Name), necesaria para incluir todos los dominios deseados en el certificado (el dominio principal domain.xyz + cualquier otro dominio o subdominio asociado, como www.domain.xyz).

Después de la generación, puede verificar el contenido de la CSR con el siguiente comando:

openssl req -in domain.xyz.csr -noout -text

Esto permite verificar que todos los dominios listados en subjectAltName están correctamente incluidos.

Una vez generada la CSR, puede enviarla a la entidad de certificación (CA) para obtener su certificado SSL/TLS.

2. Importar el certificado externo

Una vez validada, la CA le entrega un certificado (domain.xyz.crt) y a veces un certificado intermedio (ca_bundle.crt).

Para acceder a la gestión de los certificados SSL:

1. Haga clic aquí para acceder a la gestión de su sitio en el Gestor Infomaniak (¿necesita ayuda?).
2. Haga clic directamente en el nombre asignado al sitio correspondiente:
   
3. Haga clic en Certificados SSL en el menú lateral izquierdo.
4. Haga clic en el botón azul Instalar un certificado:
   
5. Elija el certificado personalizado.
6. Haga clic en el botón Siguiente:
   
7. Importe su certificado y clave privada, ya sea importando los archivos .crt y .key o copiando y pegando.
8. Haga clic en Completar:
   

Comando alternativo para generar un certificado auto-firmado (opcional)

Si desea un certificado local solo para pruebas o sin pasar por una CA (no recomendado para producción), puede usar este comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Esto genera tanto un certificado auto-firmado (domain.xyz.crt) como una clave privada (domain.xyz.key). Sin embargo, los certificados auto-firmados no son reconocidos como válidos por los navegadores o sistemas públicos. Solo son adecuados para entornos internos o de desarrollo.

Importar un certificado intermedio

Al agregar un certificado SSL personalizado, es posible importar el certificado intermedio (importando el archivo .crt o copiando y pegando los datos proporcionados por la entidad de certificación):