Estás instalando un certificado SSL en tu servidor, y de repente te has quedado atascado. La configuración te pide un archivo«CA Bundle» y no sabes qué es ni dónde encontrarlo. No eres el único: esto desconcierta a mucha gente durante la instalación de SSL.

Los CA Bundles no son complicados una vez que entiendes lo que hacen. En esta guía, te explicaremos exactamente qué es un CA Bundle, por qué lo necesita tu servidor y cómo crear u obtener uno en sólo unos minutos. Al final, serás capaz de manejar CA Bundles con confianza y evitar esos frustrantes errores de «certificado no fiable».
Índice
- ¿Qué es un Paquete CA?
- Por qué el paquete CA es importante para la seguridad SSL
- Cómo conseguir tu paquete CA
- Cómo crear un paquete CA
- Verificar tu paquete de CA
- Instalar el paquete CA en tu servidor
- Problemas comunes del paquete CA y soluciones
- Buenas prácticas del paquete CA
¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!
Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10
¿Qué es un Paquete CA?
Un Paquete CA es un único archivo que contiene certificados intermedios y certificados raíz de tu Autoridad de Certificación. Cuando se combina con tu certificado de servidor, completa tu cadena de confianza de certificados SSL: la secuencia de certificados que los navegadores utilizan para verificar que tu sitio es legítimo.
Piénsalo así: el certificado de tu servidor dice «Soy ejemplo.com», pero los navegadores necesitan pruebas. El Paquete CA proporciona esa prueba mostrando la ruta de confianza desde tu certificado hasta un certificado raíz en el que ya confían los navegadores.
La mayoría de los certificados SSL requieren un Paquete CA (la principal excepción son los certificados en formato PKCS#7, que ya incluyen el paquete). Sin él, los navegadores no pueden verificar la autenticidad de tu certificado, lo que provoca advertencias de seguridad que ahuyentan a los visitantes.
Componentes del Paquete CA
Un Paquete de CA típico contiene dos tipos de certificados:
- Certificados intermedios. Son certificados emitidos por la Autoridad de Certificación para tender un puente entre el certificado de tu servidor y el certificado raíz. Las grandes CA, como Sectigo y DigiCert, suelen utilizar varios intermediarios para distribuir la carga de trabajo de firma de certificados y gestionar distintos tipos de certificados.
- Certificados raíz. Son los certificados de nivel superior de la cadena de confianza. Los navegadores y los sistemas operativos vienen precargados con certificados raíz de CA de confianza. Cuando un navegador ve un certificado raíz que reconoce, sabe que toda la cadena de certificados es válida.
The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.
La cadena de confianza del certificado
He aquí cómo funciona en la práctica la cadena de certificados SSL:
- Certificado del servidor (el certificado de tu sitio web) – Contiene el nombre de tu dominio y la clave pública
- Certificado(s) intermedio(s) (del Paquete CA) – Firmado por la CA raíz, firma tu certificado
- Certificado raíz (de CA Bundle) – Preconfianza de navegadores y sistemas operativos

Cuando alguien visita tu sitio a través de HTTPS, su navegador realiza un intercambio SSL. Durante este proceso, el navegador valida cada eslabón de la cadena, empezando por el certificado de tu servidor hasta llegar a una raíz de confianza. Esto es PKI (Infraestructura de Clave Pública) en acción.
Si falta algún eslabón de esta cadena -típicamente porque no se ha instalado el Paquete CA-, el navegador no puede completar la validación. ¿El resultado? Advertencias de seguridad como «Tu conexión no es privada» o «Certificado no fiable».
Por qué el paquete CA es importante para la seguridad SSL
El Paquete CA cumple varias funciones críticas, además de hacer que aparezca el icono del candado.
Compatibilidad con navegadores
Los distintos navegadores y sistemas operativos mantienen diferentes almacenes de confianza de certificados. Tu paquete de CA garantiza la compatibilidad entre navegadores de escritorio, dispositivos móviles, clientes de correo electrónico y herramientas API. Esto es especialmente importante para las versiones antiguas de los navegadores, que podrían no tener los certificados intermedios más recientes.
Protección contra las amenazas a la seguridad
Un paquete de CA correctamente configurado ayuda a evitar los ataques de intermediario verificando la autenticidad del certificado en varios niveles. La cadena de certificados hace que la falsificación sea casi imposible porque cada certificado está firmado criptográficamente por el anterior.
Cumplir los requisitos de conformidad
Muchos sectores exigen una configuración SSL/TLS adecuada:
- PCI DSS exige una transmisión segura de los datos de los titulares de tarjetas
- El GDPR exige medidas de seguridad adecuadas para los datos personales
- La HIPAA exige una comunicación segura para la información sanitaria
Una CA Bundle ausente o mal configurada puede ponerte fuera de conformidad, aunque tu certificado en sí sea válido.
Cómo conseguir tu paquete CA
No necesitas crear un Paquete CA desde cero cada vez. Aquí tienes las principales formas de obtener uno:
1. Desde tu Autoridad de Certificación
Cuando adquieres un certificado SSL de proveedores como Sectigo, DigiCert o GeoTrust, normalmente te proporcionan el Paquete de CA junto con tu certificado de servidor. Para los clientes de SSL Dragon, encontrarás tu Paquete de CA en tu panel de control de certificados justo después de la emisión.
2. Descarga desde repositorios oficiales de CA
La mayoría de las principales autoridades de certificación mantienen repositorios públicos donde puedes descargar certificados raíz e intermedios. Sectigo, DigiCert, Let’s Encrypt y otras CA publican sus cadenas de certificados en sus sitios de soporte.
3. Extraer del almacén de certificados
Los sistemas operativos mantienen almacenes de confianza de certificados a los que puedes acceder:
- Windows: Utiliza certmgr.msc para acceder al gestor de certificados
- Linux/macOS: directorio /etc/ssl/certs/
Cómo crear un paquete de CA (Guía paso a paso)
A veces necesitas crear un Paquete de CA manualmente; puede que sólo hayas recibido archivos de certificados individuales. A continuación te explicamos cómo hacerlo correctamente.
Requisitos previos
Antes de empezar, asegúrate de que tienes:
- Tu(s) archivo(s) de certificado intermedio
- Tu archivo de certificado raíz
- Un editor de texto (Bloc de notas++, nano, vim, o incluso el Bloc de notas básico)
Método 1: Utilizar un editor de texto
Este método funciona en cualquier plataforma y no requiere conocimientos técnicos.
Paso 1: Localiza tus archivos de certificado
Busca los archivos de certificado proporcionados por tu CA. Estás buscando los certificados intermedio y raíz, no el certificado de tu servidor. Los archivos suelen tener extensiones como .crt, .pem o .cer.
Paso 2: Abrir cada certificado
Abre tu certificado intermedio en un editor de texto. Verás contenido como
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----
Las partes importantes son la cabecera —–BEGIN CERTIFICATE—– y el pie —–END CERTIFICATE—–. Asegúrate de que ambos están presentes y completos.
Paso 3: Crea tu archivo Bundle
Crea un nuevo archivo en blanco en tu editor de texto. Ponle el nombre tudominio.ca-bundle o ca-bundle.crt. La extensión no importa mucho: puedes utilizar .pem, .crt o .ca-bundle.
Paso 4: Copia los certificados en el orden correcto
Este es el paso crítico. La orden debe ser:
- Primero: Tu certificado intermedio (el que firmó directamente tu certificado de servidor)
- Segundo: Cualquier certificado intermedio adicional (si tienes varios)
- Último: El certificado raíz
Copia cada certificado por completo, incluidas las líneas de INICIO y FIN. No añadas espacios adicionales ni líneas en blanco entre los certificados.
Este es el aspecto de un Paquete CA correcto:
-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----
Paso 5: Guardar el archivo
Guarda tu archivo con codificación UTF-8. Comprueba que cada certificado empieza por —–BEGIN CERTIFICATE—– y termina por —–END CERTIFICATE—– sin espacios de más.
Método 2: Utilizando la línea de comandos
Si te sientes cómodo con la línea de comandos, puedes crear un Paquete CA en cuestión de segundos.
Linux/macOS:
cat intermediate.crt root.crt > ca-bundle.crt
Símbolo del sistema de Windows:
copy /b intermediate.crt + root.crt ca-bundle.crt
Estos comandos concatenan los archivos de certificado en orden. Asegúrate de que los enumeras en la secuencia correcta: primero los certificados intermedios y luego el certificado raíz.
Errores comunes que debes evitar
- Orden incorrecto de los certificados – El error más común es poner primero el certificado raíz
- Espacios en blanco adicionales – No añadas líneas en blanco entre certificados
- Faltan cabeceras – Copia todo el bloque de certificados, incluidas las líneas INICIO/FINAL
- Incluir el certificado de tu servidor – El Paquete CA sólo debe contener certificados intermedios y raíz
¡Ahorra un 10% en Certificados SSL al hacer tu pedido en SSL Dragon hoy mismo!
Emisión rápida, encriptación fuerte, 99,99% de confianza del navegador, soporte dedicado y garantía de devolución del dinero en 25 días. Código del cupón: AHORRA10
Verificar tu paquete de CA
Antes de instalar tu paquete de CA en un servidor de producción, comprueba que es correcto.
Utilizar OpenSSL
OpenSSL es la herramienta estándar para trabajar con certificados SSL:
openssl verify -CAfile ca-bundle.crt your-server-certificate.crt
Si todo es correcto, ya lo verás:
your-server-certificate.crt: OK
Si hay algún problema, OpenSSL te dirá qué es lo que falla, como que faltan certificados o que el pedido es incorrecto.
Utilizar herramientas de comprobación de SSL en línea
SSL Dragon ofrece una herramienta gratuita SSL Checker que valida tu cadena de certificados. Una vez instalado tu certificado, la herramienta:
- Mostrar la cadena de certificados completa
- Identifica los certificados intermedios que falten
- Comprueba las fechas de caducidad de los certificados
- Comprueba la compatibilidad con distintos navegadores
Instalar el paquete CA en tu servidor
El proceso de instalación varía según la plataforma. Aquí tienes un resumen rápido:
Apache. Utiliza la directiva SSLCertificateChainFile:
SSLCertificateChainFile /path/to/ca-bundle.crt
Nginx. Especifica el certificado de confianza:
ssl_trusted_certificate /path/to/ca-bundle.crt;
cPanel/WHM. Utiliza la interfaz web para pegar tu paquete de CA en el campo «Paquete de autoridad de certificación».
IIS (Windows Server). Importa certificados intermedios a «Autoridades de certificación intermedias» y certificados raíz a «Autoridades de certificación raíz de confianza» utilizando el Administrador de certificados.
Para obtener guías detalladas de instalación específicas para tu entorno de servidor, consulta la documentación de instalación de SSL Dragon.
Problemas comunes del paquete CA y soluciones
Problema 1: Error «Cadena de certificados incompleta
Síntomas: Las herramientas de comprobación de SSL informan de que falta un certificado intermedio, o algunos navegadores muestran advertencias.
Solución: Descarga el paquete completo de certificados del sitio web de tu CA. Comprueba que has incluido TODOS los certificados intermedios, no sólo uno. Comprueba que el orden es correcto.
Problema 2: Orden de certificado incorrecta
Síntomas: Errores de validación de certificados, o advertencias SSL intermitentes en los navegadores.
Solución: Reorganiza tus certificados de modo que el que firmó el cert de tu servidor vaya primero, y el certificado raíz el último. Guárdalo y vuelve a subirlo a tu servidor.
Problema 3: Confusión de formato PKCS#7
Síntomas: Has recibido un archivo .p7b y no estás seguro de si necesitas un Paquete CA.
Solución: Los archivos PKCS#7 (.p7b) ya incluyen el Paquete CA. No necesitas crear uno aparte. Si tu servidor requiere el formato PEM, conviértelo:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem
Problema 4: Certificado intermedio caducado
Síntomas: Errores SSL repentinos en un sitio que funcionaba anteriormente.
Solución: Descarga el último Paquete de CA de tu Autoridad de Certificación. Las principales CA publican los paquetes intermedios actualizados antes de que caduquen los antiguos. Sustituye tu antiguo paquete por el nuevo.
Buenas prácticas del paquete CA
- Guarda copias de seguridad – Guarda el certificado de tu servidor, la clave privada y el paquete de CA en un lugar seguro. Los necesitarás si cambias de servidor o reinstalas.
- Utiliza sólo fuentes oficiales – Obtén siempre tu paquete de CA del sitio web oficial de tu Autoridad de Certificación. Los repositorios de terceros pueden estar desactualizados o comprometidos.
- Controla las fechas de caducidad: los certificados raíz e intermedios también caducan. Establece recordatorios para comprobar las actualizaciones de la CA.
- Prueba antes de la producción – Prueba primero las nuevas configuraciones en un entorno de ensayo. Utiliza herramientas de prueba SSL para verificar que todo funciona antes de pasar a producción.
- Documenta tu configuración – Guarda notas sobre los certificados que utilizas, dónde están instalados y las fechas de renovación. En el futuro lo agradecerás.
Preguntas frecuentes sobre el Paquete CA
¿Puedo generar un Paquete CA automáticamente?
No. A diferencia de una CSR, que generas tú mismo, un Paquete de CA debe proceder de tu Autoridad de Certificación. Puedes crear uno manualmente combinando los certificados que te proporcionan.
¿Cuál es la diferencia entre un paquete de CA y una cadena de certificados?
El Paquete CA sólo contiene los certificados intermedio y raíz. La cadena de certificados completa incluye tu certificado de servidor más el Paquete de CA.
¿Todos los certificados requieren un Paquete CA?
La mayoría de los certificados SSL/TLS requieren uno. La principal excepción son los certificados en formato PKCS#7 (archivos .p7b), que incluyen los intermedios en el propio archivo.
¿El paquete de CA es el mismo para todos los certificados de una CA?
En general, sí. Los certificados del mismo tipo (DV, OV o EV) de la misma CA suelen utilizar los mismos certificados intermedios.
Consigue tu certificado SSL con el paquete CA sin complicaciones de SSL Dragon
Configurar certificados SSL no tiene por qué ser complicado. SSL Dragon proporciona todo lo que necesitas para una instalación sin problemas, incluidos paquetes de CA preconfigurados, guías de instalación detalladas y asistencia de expertos.
Por qué los clientes de SSL Dragon evitan los dolores de cabeza del Paquete CA:
✓ Paquetes de instalación completos: certificado de servidor, clave privada y paquete de CA juntos
✓ Paquetes prevalidados: todos los certificados se prueban antes de la entrega
✓ Asistencia de expertos 24 horas al día, 7 días a la semana: personas reales que entienden de SSL
✓ Emisión rápida: certificados validados por dominio en tan sólo 5 minutos
✓ Compatibilidad universal: reconocimiento del 99,99% de los navegadores
✓ Garantía de devolución del dinero en 25 días: prueba sin riesgos
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10






