Si acaba de recibir un certificado SSL y tiene dificultades para encontrar la clave privada correspondiente, este artículo puede ayudarle a encontrar esa única clave para su certificado.
¿Qué es una clave privada?
En primer lugar, profundicemos un poco en los conceptos básicos. El diseño de una infraestructura global de clave pública, a partir de la cual es posible una negociación moderna y segura, implica que siempre hay un par de claves únicas:
Clave pública vs clave privada
La clave pública está integrada en el certificado SSL y la clave privada se almacena en el servidor y se mantiene en secreto. Cuando un visitante del sitio completa un formulario con información personal y lo envía al servidor, la información se cifra con la clave pública para protegerla de escuchas ilegales. En el servidor, esta información se descifra mediante la clave privada y se pasa para su posterior procesamiento. Para garantizar que nadie más pueda descifrar el mensaje transmitido, debemos utilizar un par de claves únicas e imposibles de falsificar. En pocas palabras, una clave sin otra es inútil.
¿Cómo se genera una clave privada?
La clave privada se genera simultáneamente con la (solicitud de firma de certificado) que contiene el nombre de dominio, la clave pública e información de contacto adicional. La CSR debe enviarse a la Autoridad de certificación (CA) para su validación y firma inmediatamente después del certificado en el panel de la cuenta de usuario de . La clave privada debe mantenerse en secreto, idealmente en el mismo servidor en el que se instalará el certificado.
¿Puedo generar una nueva clave privada para mi certificado SSL?
Dado que una clave pública con información adicional (es decir, nombre de dominio e información de contacto administrativo) debe estar firmada por una autoridad certificadora confiable para que sea aplicable y legítima para asegurar la comunicación con su servidor, no tendría mucho sentido si podría simplemente crear una nueva clave privada para una clave pública ya validada. Por otro lado, debemos estar seguros de que nadie pueda crear una clave privada coincidente basándose en una clave pública. Por tanto, los criptosistemas modernos hacen que esa tarea sea casi imposible.
¿Cómo es una clave privada?
La clave privada es un dato codificado, normalmente unas pocas docenas de líneas de símbolos de apariencia aleatoria, encerrados con encabezados similares a estos: —–BEGIN RSA PRIVATE KEY—– y —–END RSA LLAVE PRIVADA—–
Sin embargo, en la mayoría de los casos, este código no aparecerá a la vista al generar la CSR. Por lo general, se crea en segundo plano y se guarda silenciosamente en el sistema de archivos del servidor. Y, obviamente, durante el proceso, la clave debe recuperarse automáticamente en el certificado. Sin embargo, algunos sistemas no tienen este tipo de comportamiento o en ocasiones necesitamos instalar el certificado en otro servidor. Estos son ejemplos de casos en los que realmente necesitamos saber la ubicación exacta de la clave privada.
Cómo recuperar una clave privada extraviada
Depende de un determinado sistema operativo del servidor y de si se utilizó CLI (interfaz de línea de comando) o un panel de control de alojamiento web de un tipo particular para la generación de CSR. Y aquí viene la parte principal.
A continuación puede encontrar sugerencias, ejemplos y consejos que puede considerar seguir para solucionar el problema que falta y evitar la reemisión del certificado (es decir, repetir el proceso de activación y validación desde cero).
Cómo recuperar una clave privada en diferentes plataformas de servidor
Sistemas operativos Linux (Apache, Nginx, Lighttpd, Heroku)
Tradicionalmente, las claves privadas en los sistemas operativos basados en Linux (Ubuntu, Debian, CentOS, RedHat, etc.) son claves generadas por openssl con el kit de herramientas criptográficas y guardadas en archivos con la extensión .key o .pem. Sin embargo, dado que extensiones específicas no son obligatorias para archivos de texto simples en sistemas Linux, el código de clave privada se puede colocar en un archivo con prácticamente cualquier nombre.
Si recuerda el nombre completo o parcial del archivo .key, puede intentar obtener su ubicación ejecutando el comando “buscar” como se muestra a continuación:
sudo buscar -tipo f -iname 'llave privada'
– el parámetro indica el directorio desde el cual iniciar la búsqueda y a través de todos los directorios dentro de él, por ejemplo, para buscar desde “raíz”, se debe especificar el signo /;
– para realizar la búsqueda por un nombre de archivo parcial, el nombre supuesto del archivo debe especificarse con un asterisco
por ejemplo, el valor “*.key” permite localizar cada archivo cuyo nombre termine en “.key”.
SUGERENCIA: Muy a menudo, el nombre del archivo de clave se parece al nombre de dominio para el que se emite el certificado, por ejemplo, “ejemplo.com.key”, “ejemplo_com.key”, “ejemplo-com.key”, etc.
Otra forma de obtener la ubicación del archivo de clave privada es buscar dentro de los archivos según ciertos patrones: grep -r –exclude-dir=log –exclude-dir=ssh –exclude=*history -I -l -e '—–BEGIN PRIVATE*' -e '—–BEGIN RSA* ' -e '—–COMENZAR EC*'
2> /dev/nulo
Este comando de una sola línea imprime una ruta absoluta al archivo, que contiene una expresión coincidente (——encabezado BEGIN), por ejemplo, “/etc/ssl/private.key”.
Sistemas operativos Windows (IIS, Exchange, servidor para pequeñas empresas)
Los sistemas Windows no permiten recuperar la clave privada en texto sin formato. Cuando se importa un certificado SSL a través de Microsoft Management Console (MMC) o IIS, la clave privada correspondiente se vincula automáticamente al certificado, por supuesto, si el certificado se importa a la misma instancia en la que se generó la clave. Pero si necesitamos obtener la clave privada, por ejemplo, para la instalación del certificado en otro servidor, existe la opción de exportar la clave en un archivo protegido con contraseña (formato PFX o PKCS12). Para hacerlo, deberá abrir el complemento Certificados MMC de la siguiente manera:
Win+R > mmc.exe > Aceptar > Archivo > Agregar o quitar complemento > Certificados > Agregar > Cuenta de computadora > Siguiente > Computadora local > Finalizar > Aceptar
Luego navegue hasta la carpeta Solicitudes de inscripción de certificados > Certificados (si la solicitud de certificado no se completó) o Personal > Certificados (si la solicitud de certificado ya se completó), haga clic derecho en la entrada del certificado y haga clic en Todas las tareas > Exportar para abrir el asistente de exportación. . Se pueden encontrar más detalles sobre el proceso de exportación.
Como resultado, recibirá un archivo .pfx que contiene la clave. Para obtener la clave en texto sin formato, puede convertir el .pfx en archivos codificados con PEM usando (opción PKCS#12 a PEM).
Mac OS X
La herramienta predeterminada “Llavero” en la aplicación del Servidor no permite acceder a la clave privada generada a través de la interfaz gráfica de usuario. Sin embargo, utilizando las herramientas de línea de comandos en Terminal, es posible navegar a la carpeta “/etc/certificates” y abrir el archivo de clave, que debería llamarse algo así como “.key.pem”.
Tomcat (usando herramienta de claves)
A menos que el conector SSL en Tomcat esté configurado en estilo APR, la clave privada generalmente se almacena en un archivo de almacén de claves Java protegido con contraseña (.jks o .keystore), que se creó antes de la CSR. Para extraer la clave en formato PEM, primero se debe convertir el almacén de claves en un archivo .pfx/.p12 (PKCS#12). Con la utilidad “keytool”, se puede hacer con la ayuda del siguiente comando: herramienta de claves -importkeystore -srckeystore almacén de claves.jks -destkeystore almacén de claves.p12 -deststoretype PKCS12 -srcalias -srcstorepass -srckeypass -deststorepass
-destkeypass
“keystore.jks” debe reemplazarse con el nombre del almacén de claves, que contiene la clave requerida; “keystore.p12” – con el nombre del archivo .pfx/.p12 al que se convertirá el almacén de claves; y haga referencia al alias, la contraseña del almacén de claves y los valores de contraseña de clave especificados durante la generación del almacén de claves; y se requieren valores para asegurar la integridad del nuevo archivo .pfx./p12; Sin embargo, es posible utilizar la misma contraseña para ambos parámetros.
Cuando se crea el archivo .pfx/.p12, se puede convertir a archivos con formato PEM con la ayuda de (opción PKCS#12 a PEM) o usando OpenSSL. El comando OpenSSL sería: openssl pkcs12 -en almacén de claves.p12 -nocerts -nodos -fuera
llave privada
– 'private.key' se refiere al nombre del archivo en el que se guardará el texto de la clave privada.
cPanel
- Hay 2 formas de acceder a la clave privada en cPanel:
Usando el Administrador SSL/TLS
- Desplácese hacia abajo en la página siguiente, donde podrá ver la opción “Este CSR utiliza la siguiente clave” y un enlace debajo para obtener la clave privada:
Usando el Administrador de archivos
En la página de inicio de cPanel, haga clic en “Administrador SSL/TLS” y luego en el botón “Claves privadas”. En la nueva pantalla, debería ver la lista de claves privadas cada vez que se crean en una cuenta de cPanel en particular. Al hacer clic en el botón “Ver y editar” se abrirá la pantalla que presenta la clave tanto en formato codificado como decodificado:
Hay otro menú en el administrador “SSL/TLS” que permite encontrar la clave privada correspondiente para el certificado. Haga clic en “Solicitud de firma de certificado (CSR)” y ubique su CSR por dominio.
Haga clic en el botón Administrador de archivos en la pantalla de inicio de cPanel y abra la ventana como en la captura de pantalla a continuación. A continuación, deberá buscar la carpeta “ssl” y luego hacer clic en el directorio “clave” que se encuentra dentro de ella. Las claves privadas aparecerán en el panel de navegación del lado derecho. Luego, el archivo de clave requerido se puede descargar o abrir en texto sin formato:
WHM
En WHM las claves privadas se almacenan junto con los CSR y certificados correspondientes en el “Administrador de almacenamiento SSL”. Para llegar allí, puede hacer clic en “SSL/TLS” en la pantalla de inicio y luego en “Administrador de almacenamiento SSL”. Para abrir el texto de la clave privada, deberá hacer clic en el botón de lupa en la primera columna llamada “Clave”.
Plesk
Después de navegar a Dominios > dominio.com > Certificados SSL/TLS, debería ver una página similar a la de la captura de pantalla siguiente. El letrero de la clave con el mensaje “Parte de clave privada suministrada” indica la presencia de la clave necesaria en el sistema. Para abrirlo en texto sin formato, deberá hacer clic en el nombre de la entrada y desplazarse hacia abajo hasta que aparezca el código clave en la pantalla. Alternativamente, puede hacer clic en el signo de flecha verde a la derecha y descargar el archivo .pem que contiene la clave, el CSR y el certificado junto con el paquete de CA, si ya se importaron. El archivo .pem se puede abrir con cualquier editor de texto como el Bloc de notas:
Synology NAS DSM
En Synology DSM, la clave privada se descarga en el archivo archive.zip en el último paso del asistente de generación de CSR. Se guarda en el archivo server.key dentro del archivo .zip y se puede abrir en una computadora local con un editor de texto:
Webmin
El panel Webmin fue diseñado como una interfaz gráfica de usuario además de las herramientas de línea de comandos, aunque viene con el administrador de archivos (Filemin) que se puede utilizar para explorar el sistema de archivos con el fin de encontrar el archivo clave, que fue creado por el Comando OpenSSL en Command Shell cuando se generó la CSR.
La otra forma de encontrar la clave privada en Webmin es abrir “Command shell” en la sección “Otros” y ejecutar el comando “buscar” o “grep” del párrafo “Sistemas operativos Linux” de este artículo.
VestaCP
La clave privada en VestaCP no se guarda en ninguna parte de la interfaz de usuario; es necesario guardar el texto clave en un archivo local durante la generación de la CSR.
Sin embargo, todavía existe la posibilidad de encontrarlo a través de SSH. Cuando VestaCP crea una nueva CSR, la clave privada se almacena como un archivo temporal en el directorio “/tmp”. La ruta absoluta al archivo de clave podría verse así, por ejemplo, “/tmp/tmp.npAnkmWFcu/example.com.key”. El principal cuello de botella aquí es que los archivos dentro de “/tmp” se eliminan permanentemente durante cada reinicio del servidor.
Para obtener la ubicación del archivo clave en su instancia, se puede invocar el siguiente comando:buscar /tmp -tipo f -iname 'dominio.com
.llave'
-…
Facebook Comments
Disqus