Al comprar un certificado SSL/TLS, sus principales preocupaciones suelen ser el precio, el tipo de…
¿Cómo encontrar la clave privada (.KEY) para mi certificado SSL/TLS?
Si acabas de obtener un certificado SSL/TLS y estás teniendo dificultades para encontrar tu clave privada (Private Key .KEY) correspondiente, este artículo te ayudará a encontrar esa única clave para tu certificado de seguridad.
En primer lugar, recordemos un poco los conceptos básicos. El diseño de Infraestructura de Clave Pública global, implica que siempre hay un par de claves únicas en la negociación segura a través de SSL/TLS: La clave pública la cual está integrada en el certificado SSL/TLS y la clave privada que se almacena en el servidor y se mantiene secreta.
Cuando un visitante del sitio rellena un formulario con información personal y lo envía al servidor, la información se cifra con la clave pública para protegerlo de escuchas ilegales. En el servidor, esta información se descifra mediante la clave privada y se transfiere para su posterior procesamiento. Para garantizar que nadie más pueda descifrar el mensaje transmitido, debemos usar un par de claves únicas e imposibles de descifrar. Entonces, en pocas palabras, una clave sin otra es inútil.
¿Dónde está mi clave privada .key?
Cuando generas una la Solicitud de firma de certificado (CSR) para solicitar un certificado SSL/TLS, se crea una clave privada en tu servidor local. No deberías enviar nunca tu clave privada a otra persona (¡ni siquiera a nosotros!), pero necesitarás saber dónde está para completar la instalación de tu certificado SSL/TLS.
A continuación hay algunos lugares comunes para encontrar la clave privada en tu servidor.
Windows/IIS
En los servidores de Windows, el sistema operativo gestiona el certificado por ti en un archivo oculto, pero puedes exportar un archivo .PFX que contiene tanto el certificado como la clave privada.
- Abre la Consola de administración de Microsoft (MMC).
- En la Raíz de la Consola, expande Certificados (Computadora local). Tu certificado estará ubicado en la carpeta Personal o Servidor web.
- Encuentra el certificado y haz clic con el botón derecho sobre él, haz clic en Exportar y sigue al asistente de guía.
Una vez que tengas el archivo .pfx, puedes guardarlo como respaldo de la clave, o usarlo para instalar el certificado en otro servidor de Windows. Si intentas usar el certificado en un sistema operativo diferente, tendrás que dividir el .pfx en el certificado y la clave privada.
Apache
Puedes encontrar la ubicación de tu clave privada en el archivo de configuración de Apache, que se llama .httpd.conf
o apache2.conf
. La línea SSLCertificateKeyFile te muestra la ruta del archivo a tu clave privada.
NGINX
La ruta de tu clave privada está incluida en el archivo del host virtual de tu sitio. Navega hasta el bloque del servidor de tu sitio (por defecto, se encuentra en el directorio /var/www). Abre el archivo de configuración de tu sitio y busca ssl_certificate_key que te mostrará la ruta de tu clave privada.
¿Por qué no se puede generar una nueva clave privada para el certificado?
Dado que una clave pública con la información adicional (es decir, el nombre de dominio y la información de contacto administrativo) debe estar firmada por una autoridad certificadora confiable para que sea aplicable y legítima para asegurar la comunicación con su servidor, no tendría mucho sentido crear una nueva clave privada para una clave pública ya validada.
Por otro lado, debemos asegurarnos de que nadie pueda crear una clave privada coincidente basándose en una clave pública. Por lo tanto, los criptosistemas modernos hacen que tal tarea sea imposible.
¿Cuál es la apariencia de la clave privada?
Como podrás ver, durante la creación del fichero .csr se genera un nuevo fichero con extensión .key
Este fichero contiene la clave privada del servidor y no debemos hacerlo público bajo ningún concepto. También suele encontrarse en formato PEM.
La clave privada es una pieza codificada de datos, generalmente unas pocas docenas de líneas de símbolos aleatorios, encerrados con los encabezados:
—–BEGIN PRIVATE KEY—–
—–END PRIVATE KEY—–
Si aun no encuentras tu clave privada lo que debes de hacer es Extraer el certificado público y su clave privada de un archivo PFX con OpenSSL (Windows, MacOS, Linux)