"El certificado y la clave privada no coinciden": resuélvelo con un comprobador de clave

Si tu servidor web te recibió con "el certificado y la clave privada no coinciden" tras instalar el certificado SSL, no eres el único. Es uno de los errores de instalación SSL más frecuentes y, por suerte, de los más fáciles de solucionar. Esta guía explica por qué ocurre, cómo diagnosticarlo con un comprobador de clave de certificado y cómo resolverlo paso a paso.

¿Qué significa realmente este error?

Cada certificado SSL está vinculado matemáticamente a una clave privada concreta creada al mismo tiempo. El certificado y la clave forman una pareja: el modulus de la clave pública dentro del certificado debe ser idéntico al de la clave privada. Si el certificado que instalaste se generó con otra clave, el servidor se niega a arrancar y muestra el error.

El texto exacto depende de la plataforma:

  • Apache: "SSLCertificateKeyFile ... does not match certificate" o "key values mismatch".
  • Nginx: "SSL_CTX_use_PrivateKey_file ... key values mismatch".
  • cPanel / WHM: "The certificate and the private key do not match."

¿Por qué ocurre?

La causa es casi siempre la misma: el certificado y la clave privada instalada provienen de parejas distintas. Los motivos habituales:

  • Generaste un CSR nuevo (que también creó una clave nueva), pero el servidor sigue apuntando a la clave antigua.
  • Creaste CSR para varios dominios o varios intentos y mezclaste los archivos.
  • El certificado se emitió en un servidor y se copió a otro junto con la clave equivocada.
  • Reemitiste el certificado pero olvidaste actualizar el archivo de clave correspondiente.

Cómo funciona un comprobador de clave

Un comprobador de clave te dice en segundos si tus archivos pertenecen realmente a la misma pareja. En nuestra herramienta Comprobador de Clave puedes pegar dos o los tres archivos PEM siguientes:

  • Certificado (certificate.crt / fullchain.pem)
  • CSR (Solicitud de Firma de Certificado)
  • Clave privada (private.key)

La herramienta extrae el modulus de la clave pública de cada archivo, calcula una huella criptográfica y las compara. Huellas iguales significan que los archivos van juntos; huellas distintas indican parejas diferentes.

La privacidad es lo primero: todo el proceso se ejecuta dentro de tu navegador. Tu clave privada nunca sale de tu navegador ni se sube a ningún servidor. Pegar algo tan sensible como una clave privada en cualquier herramienta en línea es un riesgo de seguridad grave; con la nuestra ese riesgo no existe.

La comprobación manual con openssl

Si prefieres la línea de comandos, puedes hacer la misma comparación con openssl. Cuando cada comando imprime el mismo hash, los archivos coinciden:

openssl x509 -noout -modulus -in certificate.crt | openssl md5
openssl rsa  -noout -modulus -in private.key     | openssl md5
openssl req  -noout -modulus -in request.csr     | openssl md5

Si las tres salidas son idénticas, el certificado, la clave y el CSR pertenecen a la misma pareja. El Comprobador de Clave realiza exactamente esta verificación de forma visual, sin necesidad de terminal.

Cómo solucionar el error

  1. Encuentra la clave correcta. Si tienes varios archivos .key en el servidor o en copias de seguridad, prueba cada uno en el comprobador hasta encontrar la clave que empareja con tu certificado, y apunta la configuración del servidor a ella.
  2. ¿No hay clave coincidente? Reemite. Si la clave privada correcta se ha perdido de verdad, el certificado queda inservible. Entonces necesitas generar un CSR nuevo y una clave privada nueva y reemitir el certificado. Nuestro asistente de certificado gratuito emite un nuevo certificado Let's Encrypt de 90 días en minutos y te permite descargar la clave y el certificado juntos.
  3. Verifica los archivos nuevos. Antes de instalar, pasa el nuevo certificado y la clave de nuevo por el comprobador para confirmar que emparejan correctamente.
  4. Reinicia el servidor. Tras apuntar la configuración a los archivos correctos, recarga Apache o Nginx; el error desaparecerá.

Resumen

El error "el certificado y la clave privada no coinciden" aparece cuando se instala una clave incorrecta o antigua en el servidor. La solución es descubrir a qué clave pertenece realmente tu certificado. Nuestra herramienta Comprobador de Clave lo hace en segundos sin enviar un solo byte fuera de tu equipo, protegiendo tu privacidad. Si no se encuentra ninguna clave coincidente, lo más limpio es obtener un certificado nuevo.