Logo Arturo Navarro

Rekeying de certificados SSL: ¿Qué es y por qué deberías hacerlo?

Ciberseguridad

Si administras un sitio web con un certificado SSL, es posible que hayas escuchado el término “rekeying” y te preguntes qué significa y si es algo que deberías hacer. No te preocupes, estamos aquí para despejar todas tus dudas.

¿Qué es el rekeying de un certificado SSL?

El rekeying de un certificado SSL es el proceso de generar un nuevo par de claves (pública y privada) para tu certificado existente. Esto significa que, aunque tu certificado seguirá siendo válido, las claves utilizadas para cifrar y descifrar la información se actualizarán.

¿Por qué hacer un rekeying?

Aunque no es obligatorio, el rekeying ofrece varias ventajas importantes:

  • Seguridad mejorada: Al cambiar las claves regularmente, reduces el riesgo de que alguien pueda comprometer tu certificado.
  • Cumplimiento normativo: Algunas industrias tienen requisitos de seguridad que recomiendan o exigen el rekeying periódico.
  • Mitigación de riesgos: Si sospechas que tu clave privada ha sido comprometida, un rekeying es una forma rápida de solucionar el problema.

¿Cuándo hacer un rekeying?

No hay una regla estricta sobre la frecuencia del rekeying, pero se recomienda hacerlo al menos una vez al año. Sin embargo, si sospechas que tu clave privada ha sido comprometida, debes hacer un rekeying de inmediato.

¿Cómo hacer un rekeying? (Paso a paso para diferentes servidores)

El proceso de rekeying puede variar ligeramente según el software de tu servidor. Aquí te mostramos cómo hacerlo en algunos de los servidores más populares:

Apache

  1. Genera un nuevo CSR: Utiliza el comando openssl req -new -newkey rsa:2048 -nodes -keyout [nombre de tu clave privada].key -out [nombre de tu CSR].csr. Rellena la información solicitada.
  2. Solicita un nuevo certificado: Envía tu CSR a tu Autoridad de Certificación (CA).
  3. Instala el nuevo certificado: Coloca los archivos del certificado ([nombre de tu certificado].crt) y la clave privada ([nombre de tu clave privada].key) en los directorios adecuados de Apache (/etc/ssl/certs/ y /etc/ssl/private/, respectivamente).
  4. Reinicia Apache: Ejecuta el comando sudo systemctl restart apache2.

Nginx

  1. Genera un nuevo CSR: Utiliza el comando openssl req -new -newkey rsa:2048 -nodes -keyout [nombre de tu clave privada].key -out [nombre de tu CSR].csr. Rellena la información solicitada.
  2. Solicita un nuevo certificado: Envía tu CSR a tu Autoridad de Certificación (CA).
  3. Instala el nuevo certificado: Coloca los archivos del certificado ([nombre de tu certificado].crt) y la clave privada ([nombre de tu clave privada].key) en los directorios adecuados de Nginx (/etc/nginx/ssl/ o similares).
  4. Edita la configuración de Nginx: Asegúrate de que los archivos del nuevo certificado y la clave privada estén referenciados correctamente en tu archivo de configuración de Nginx.
  5. Reinicia Nginx: Ejecuta el comando sudo systemctl restart nginx.

cPanel

  1. Accede a la sección SSL/TLS: En cPanel, busca la sección “SSL/TLS” o similar.
  2. Genera un nuevo CSR: Busca la opción “Generar, ver, cargar o eliminar solicitudes de firma de certificados (CSR)”.
  3. Solicita un nuevo certificado: Una vez generado el CSR, puedes solicitar un nuevo certificado desde la misma sección.
  4. Instala el nuevo certificado: Después de recibir el nuevo certificado, instálalo en cPanel.

Plesk

  1. Accede a la sección “Certificados SSL/TLS”: En Plesk, busca la sección “Certificados SSL/TLS”.
  2. Añade un nuevo certificado: Haz clic en “Añadir Certificado SSL/TLS”.
  3. Genera un nuevo CSR: Plesk te permitirá generar un nuevo CSR durante el proceso de añadir un certificado.
  4. Solicita un nuevo certificado: Después de generar el CSR, puedes solicitar un nuevo certificado.
  5. Instala el nuevo certificado: Una vez recibido, instálalo en Plesk.

Consideraciones adicionales

  • Servidores Windows: Si utilizas un servidor Windows con IIS, el proceso será similar, pero las herramientas y rutas de los archivos pueden ser diferentes. Consulta la documentación de Microsoft para obtener instrucciones específicas.
  • Certificados wildcard: Si tienes un certificado wildcard, el rekeying puede ser un poco más complejo. Asegúrate de seguir las instrucciones de tu CA para evitar problemas.

¿Cómo identificar qué tipo de servidor utilizas tú?

Antes de sumergirte en el rekeying, es crucial identificar el tipo de servidor que estás utilizando. Esto te permitirá seguir las instrucciones correctas y evitar errores. Si tienes acceso a tu panel de control de hosting (como cPanel o Plesk), generalmente encontrarás esta información en la sección de “Información general” o “Detalles del servidor”. Si no tienes acceso a un panel de control, puedes utilizar herramientas en línea como Netcraft o WhatsMyIP, que te proporcionarán detalles sobre tu servidor, incluyendo el software que utiliza. También puedes consultar la documentación de tu proveedor de hosting o contactar a su soporte técnico para obtener ayuda.

 

Recuerda: Siempre es recomendable hacer una copia de seguridad de tu configuración y certificados antes de realizar un rekeying.

Espero que esta guía detallada te sea útil para realizar un rekeying en tu servidor sin importar cuál sea. Si tienes alguna pregunta o problema, no dudes en consultar la documentación de tu servidor o contactar a tu proveedor de hosting.

Post Tags :

Ciberseguridad