Decodificador de CSR: verifica tu CSR antes de emitir un certificado

Lo primero que entregas a una autoridad de certificación cuando solicitas un certificado SSL/TLS es un CSR. Un solo error tipográfico, un nombre de dominio incorrecto o un tamaño de clave débil en ese bloque puede hacer que tu certificado sea rechazado o emitido con datos equivocados. Ahí es donde un decodificador de CSR demuestra su valor: te muestra, en lenguaje claro, qué dice realmente tu CSR antes de enviarlo.

¿Qué es un CSR?

Un CSR (Certificate Signing Request, solicitud de firma de certificado) es un bloque PEM codificado en Base64 que creas para pedir un certificado a una CA. Contiene el nombre de tu dominio (Common Name), los datos de tu organización y tu clave pública. Cuando se genera el CSR, al mismo tiempo se crea una clave privada correspondiente. Esa clave privada nunca sale de tu servidor y no se incluye en el CSR.

En resumen, un CSR es una solicitud firmada que dice: "emite un certificado para este dominio y esta clave pública". La CA valida la solicitud y emite un certificado vinculado a la clave pública que contiene.

¿Cómo se genera un CSR?

La herramienta más común es OpenSSL. El siguiente comando crea a la vez una clave privada de 2048 bits y un CSR:

openssl req -new -newkey rsa:2048 -nodes \
  -keyout example.key \
  -out example.csr \
  -subj "/C=ES/ST=Madrid/L=Madrid/O=Ejemplo SL/CN=ejemplo.com"

Al ejecutarlo tendrás dos archivos: example.key, que debes mantener en secreto, y example.csr, que envías a la CA. Para varios dominios (SAN) añades una entrada subjectAltName mediante un archivo -config.

¿Qué significan los campos decodificados?

Un decodificador de CSR abre ese bloque PEM y muestra cada campo de forma legible:

  • CN (Common Name): el dominio principal para el que se emitirá el certificado, p. ej. ejemplo.com.
  • O (Organization): el nombre de tu organización.
  • OU (Organizational Unit): una unidad o departamento (hoy opcional en la mayoría de certificados).
  • L / ST / C: ciudad, provincia/estado y código de país.
  • Tipo y tamaño de clave: por ejemplo RSA de 2048 bits o ECDSA P-256.
  • Algoritmo de firma: normalmente SHA-256 con RSA.
  • SAN: nombres de dominio adicionales (Subject Alternative Names) incrustados en el CSR, dentro del extensionRequest.
  • Validez de la firma: si la autofirma del CSR es coherente.

¿Por qué decodificar tu CSR antes de enviarlo?

Decodificar un CSR antes de enviarlo detecta errores difíciles de corregir antes de que ocurran:

  1. Errores tipográficos en el CN: una sola letra equivocada, como ejmplo.com, hace que se emita un certificado para el dominio incorrecto. El decodificador lo muestra con claridad.
  2. SAN ausentes o incorrectos: los navegadores modernos solo miran el campo SAN. Si olvidaste el subdominio www, el certificado no será válido para www.ejemplo.com. El decodificador enumera los SAN para que los confirmes.
  3. Tamaño de clave débil: una clave antigua e insegura de 1024 bits ya no se acepta. Como el decodificador muestra el tamaño de clave, puedes confirmar que usas 2048 bits o más.
  4. Datos de organización erróneos: en certificados OV/EV se validan los campos O y L, así que acertar desde el principio evita días de idas y venidas.

Cuando estés listo, usa nuestra herramienta decodificadora de CSR para pegar tu CSR y ver cada campo en segundos.

Funciona en tu navegador: la ventaja de privacidad

Pegar un CSR en cualquier herramienta en línea puede significar enviar los datos de configuración de tu servidor a una parte que no conoces. Nuestra herramienta es distinta: funciona por completo en tu navegador. Tu CSR nunca se sube a nuestros servidores; la decodificación ocurre en tu dispositivo. Aunque un CSR no contiene ninguna clave privada, este enfoque mantiene tus datos contigo y facilita el cumplimiento de las políticas de privacidad corporativas.

El CSR es correcto, ¿y ahora qué?

Una vez que hayas confirmado que cada campo de tu CSR es correcto, estás listo para obtener tu certificado. Sigue nuestro asistente de certificados para crear tu certificado gratuito de 90 días de Let's Encrypt paso a paso.

Resumen

El CSR es la base de tu proceso de certificación, y un pequeño error en él puede causar grandes retrasos. Revisar el CN, los datos de organización, los SAN y el tamaño de clave con un decodificador de CSR antes de enviarlo detecta los errores a tiempo. Verifica tu CSR de forma privada con nuestra herramienta en el navegador y luego emite tu certificado con confianza.