Clave privada

Todos Actualizaciones Autoridades de certificación Cambios Clave privada Código CSR Configuración CPAC Decodificador CSR DigiCert Dirección IP Dominio múltiple Firma de códigos Generador CSR General Instalación Instalar certificados SSL Renovar S/MIME Tipos Tutoriales de generación de RSE Validación ampliada Validación de dominios Validación empresarial Wildcard
¿Dónde puedo encontrar mi clave privada?

Esta es una de las preguntas más frecuentes que nos hacen. Lamentablemente no podemos enviarle la Clave Privada, porque es privada, y no la almacenamos en ningún lugar de nuestro sistema o base de datos. La Clave Privada es siempre confidencial, y sólo usted debe tenerla. Si tuviéramos o almacenáramos su Clave Privada, esto comprometería la “seguridad” de su Certificado SSL.

Si utilizó el generador de CSR de nuestro sitio web para generar su código CSR, tanto el CSR como la clave privada se le mostraron durante el proceso de generación del CSR. También se enviaron a su dirección de correo electrónico en caso de que incluyera su dirección de correo electrónico en el generador de CSR. El mensaje que se ha enviado a su dirección de correo electrónico procede de [email protected] y tiene el siguiente asunto: “Su código CSR y su Clave Privada”.

Si usted generó su CSR en su servidor, entonces tanto su código CSR como su Clave Privada le fueron proporcionados por su servidor. Tenías que copiarlos y guardarlos en un lugar seguro. En algunos casos, algunos servidores pueden mostrar el código CSR y la Clave Privada, y al mismo tiempo almacenar ambas piezas de código para usted en el servidor. En otros casos, el servidor sólo le proporciona el código CSR y mantiene la Clave Privada oculta en el servidor.

reexpedición-certificadoDicho esto, busque la clave privada en su dirección de correo electrónico o en su servidor. Si no lo encuentra, tendrá que generar un nuevo código CSR en su servidor o en el generador de CSR de nuestro sitio web. El código CSR vendrá con una Clave Privada.

Una vez que un nuevo código CSR (y clave privada) se generaron, tendrá que ir a la página de detalles del certificado SSL dentro de su cuenta de SSL Dragon, y haga clic en el botón “Reemitir certificado” de la barra lateral izquierda de la página. Tendrá que volver a pasar la validación del dominio y, una vez lo haya hecho, se le volverá a emitir el certificado SSL basándose en el nuevo código CSR que haya introducido. Además, el certificado SSL reemitido se emparejará con la clave privada que acompañaba al nuevo código CSR.

Si no encuentra el “Reemitir certificado” en la página de detalles del certificado SSL dentro de su cuenta de SSL Dragon, a continuación envíenos el nuevo código CSR a través de un Ticket de Soporte dentro de su cuenta SSL Dragon, o directamente en [email protected] y volveremos a generar el certificado SSL para usted, utilizando el nuevo código CSR. Por favor, no nos envíe su Clave Privada ya que es confidencial. Guárdelo en un lugar seguro de su correo electrónico u ordenador, ya que lo necesitará cuando instale su certificado SSL.

Copiar enlace

¿Cómo verificar la integridad del par de claves privadas?

Puede verificar la integridad de un certificado SSL y un par de claves privadas con la utilidad
utilidad OpenSSL
 y sus líneas de comando.

El proceso consta de cuatro pasos:

  1. Verifique que la clave privada no ha sido alterada.
  2. Verifique que el valor del módulo coincide con la clave privada y el par de certificados SSL.
  3. Realizar correctamente el cifrado con la clave pública del certificado y el descifrado con la clave privada.
  4. Confirmar la integridad del archivo, que está firmado con la clave privada.

Verificar la integridad de la clave privada

Ejecute el siguiente comando: openssl rsa -in [key-file .key] -check -noout

He aquí un ejemplo de una clave privada corrupta:

error de clave privada

A continuación se enumeran otros errores derivados de una clave alterada/falsificada:

  • Error de clave RSA: p no es primo
  • Error de clave RSA: n no es igual a p q
  • Error de clave RSA: d e no congruente con 1
  • Error de clave RSA: dmp1 no es congruente con d
  • Error de clave RSA: iqmp no es inverso de q

Si has encontrado alguno de los errores anteriores, tu clave privada ha sido manipulada y puede que no funcione con tu clave pública. Considere la posibilidad de crear una nueva clave privada y solicitar un certificado de sustitución.

He aquí un ejemplo de clave privada que cumple la integridad:

clave rsa ok

Verifique que el valor del módulo coincide con la clave privada y el par de certificados SSL.


Nota:

El módulo de la clave privada y del certificado deben coincidir exactamente.

Para ver el módulo del certificado ejecute el comando:

openssl x509 -noout -modulus -in [certificate-file .cer]

Para ver la clave privada Modulus ejecute el comando:

openssl rsa -noout -modulus -in [key-file .key]

Cifrar con la clave pública de y descifrar con la clave privada

1. Obtenga la clave pública del certificado:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Cifrar el contenido del archivo test.txt utilizando la clave pública

Cree un nuevo archivo llamado test.txt (puede utilizar el Bloc de notas) con el contenido “mensaje de prueba”. Ejecute el siguiente comando para crear un mensaje cifrado en el archivo cipher.txt.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3. Descifrar de cipher.txt utilizando la claveprivada
Realice el siguiente comando para descifrar el contenido de cipher.txt.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Asegúrese de que puede descifrar el contenido de su archivo cipher.txt en su terminal. La salida del terminal debe coincidir con el contenido del archivo test.txt.

Si el contenido no coincide, la clave privada ha sido manipulada y puede que no funcione con tu clave pública. Considere la posibilidad de crear una nueva clave privada y solicitar un certificado de sustitución. He aquí un ejemplo de mensaje descifrado:

prueba de mensajes

4. Confirmar la integridad del archivo firmado con la clave privada

Ejecute el siguiente comando para firmar el archivo test.sig y test.txt con su clave privada:

openssl dgst -sha256 -sign [key-file .key] -out prueba.sig prueba.txt

Ahora, verifica los archivos firmados con tu clave pública extraída del paso 1.

openssl dgst -sha256 -verify archivocertificado.pub.cer -firma prueba.sig prueba.txt

Asegúrese de que la salida del terminal es exactamente como en el ejemplo siguiente:

verificado ok
Si tu clave privada es manipulada, recibirás el siguiente mensaje:

fallo de verificación
En este caso, deberá crear una nueva clave privada y solicitar un certificado de sustitución.

Fuente: Base de conocimientos de Digicert

Copiar enlace

¿Por qué aparece un error de certificado o de clave privada?

A veces, el Certificado SSL que se le emitió no coincide con la Clave Privada que está intentando utilizar al instalar ese Certificado SSL en su servidor. Se trata de un error común generado por el usuario.

Si el sistema dice que hay una falta de coincidencia, entonces usted necesita volver a comprobar el CSR y la clave privada que generó, y que vinieron juntos. Debe asegurarse de haber utilizado ese CSR específico al configurar el certificado SSL. Cuando se emite el certificado SSL, es necesario utilizar la clave privada que se empareja con ese CSR específico.

Vemos clientes que cometen el error de generar un CSR y una clave privada y, a continuación, configurar el certificado SSL con un CSR diferente generado por el servidor. En ese caso, el servidor genera pares de CSR con su propia clave privada, que lo más probable es que usted no tenga.

La Clave Privada que tienes sólo funciona con el CSR con el que viene. Además, la Clave Privada que usted tiene sólo funciona con el Certificado SSL que fue configurado usando el CSR que se empareja con esa Clave Privada.

Solución

Para solucionarlo, debe volver a configurar (reemitir) su certificado SSL utilizando un código CSR para el que disponga de la clave privada con la que se empareja. Puede utilizar un código CSR que le proporcione su servidor o generar un CSR y una clave privada nuevos.

Copiar enlace

¿Cómo encontrar la clave privada de mi certificado de firma de código?

A partir del 1 de junio de 2023, las normas del sector obligan a almacenar las claves privadas de los certificados de firma de código en hardware certificado FIPS 140 Nivel 2, Common Criteria EAL 4+. Este cambio mejora la seguridad, alineándose con las normas de firma de código EV. Las autoridades de certificación ya no pueden admitir la generación de claves basada en navegador ni las instalaciones en ordenador portátil/servidor. Las claves privadas deben estar en tokens/HSM certificados FIPS 140-2 Nivel 2 o Common Criteria EAL 4+. Para firmar el código, acceda al token/HSM y utilice las credenciales de certificado almacenadas.

De acuerdo con las nuevas directrices, su clave privada debe estar en el token enviado por la CA o en su módulo de seguridad de hardware.

Copiar enlace