# Certificado de servidor TLS

{% hint style="warning" %}
solo en SCEPman Enterprise Edition
{% endhint %}

Puede generar certificados de servidor X.509, incluida una clave privada, a través de la interfaz web de SCEPman Certificate Master. Esta opción le permite generar fácilmente un certificado TLS para varios nombres de dominio. Estos certificados se pueden usar después para servidores web para habilitar la comunicación mediante HTTPS o para servidores de directorio para habilitar LDAPS. Además, se pueden usar en controladores de dominio de Active Directory, pero para los controladores de dominio también tiene la opción de emitir especiales [certificados de Domain Controller](https://docs.scepman.com/es/administracion-de-certificados/domain-controller-certificates), que a su vez se pueden usar para LDAPS.

{% hint style="warning" %}
Tenga en cuenta que, una vez que abandone esta página, la contraseña ya no estará accesible.
{% endhint %}

### Emisión de un certificado de servidor mediante una solicitud de firma de certificado

Envíe una solicitud de firma de certificado (CSR) obtenida de su dispositivo o servidor o creada con una herramienta externa como OpenSSL.

1. Pegue una solicitud de firma de certificado en texto plano O pegue un archivo CSR.
2. Envíe y descargue el certificado de servidor.

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FTAnquTGACOtsm5AL3t8p%2Fimage.png?alt=media&#x26;token=a6a3857b-18fc-41a9-9140-ba60555d5f4c" alt=""><figcaption><p>Enviar una CSR para un certificado de servidor</p></figcaption></figure>

### Emisión de un certificado de servidor mediante el formulario

Este formulario le permite crear un par de claves (clave privada y pública) y el certificado asociado, y descargarlo en un archivo protegido con contraseña. Puede copiar el archivo a su servidor o dispositivo e instalarlo utilizando la contraseña proporcionada en esta página.

Introduzca los nombres DNS a través de los cuales los clientes pueden acceder a su servidor. Deben coincidir, para que los clientes puedan establecer una conexión TLS (como HTTPS/LDAPS/FTPS) sin advertencias. El primer Nombre alternativo del sujeto (SAN) constituye el Nombre común (CN) del sujeto del certificado.

1. Navega a **Nuevo certificado de servidor** en el menú superior de SCEPman Certificate Master&#x20;
2. Introduzca todos los nombres de dominio completamente calificados (FQDN) para los que el certificado debe ser válido, separados por comas, punto y coma o saltos de línea. Estas entradas se agregarán como entradas DNS a la extensión de Nombres alternativos del sujeto del certificado.&#x20;
3. Pulse **Enviar** una vez que haya introducido todos los nombres de dominio y el navegador descargará automáticamente el certificado con la clave privada en formato PKCS#12/PFX después de que el certificado se haya emitido unos segundos más tarde. El archivo PKCS#12 está cifrado con la contraseña que se muestra en la pantalla. Puede importar el archivo PKCS#12 directamente al sistema donde se necesite utilizando la contraseña.

Opcionalmente, para escenarios de autenticación mutua (por ejemplo, mTLS), puede seleccionar incluir la **Autenticación de cliente** EKU en el certificado.

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fjpiz4ePATA5vd4TWCGX6%2Fimage.png?alt=media&#x26;token=307d7082-7263-496d-b5b4-19c1e3a3cc6d" alt=""><figcaption></figcaption></figure>

Algunos sistemas pueden importar un certificado con la clave privada, pero no aceptan PKCS#12. Puede convertir el archivo PKCS#12 a otros formatos usando herramientas estándar como OpenSSL. Por ejemplo, si su sistema de destino requiere un archivo PEM con el certificado y la clave privada, puede usar este comando:

```shell
openssl pkcs12 -in INFILE.p12 -out OUTFILE.crt
```