El certificado expedido depende del tipo de codificación asociada con la CSR.

De forma predeterminada, OpenSSL genera CSRs en SHA1, por lo que si usted desea conseguir un certificado SHA2, tendrás que añadir la opción -sha256 o -sha512 al comando openssl, tal como se describe a continuación.

Solicitud de certificado SHA-1

Para generar una CSR SHA-1 con OpenSSL, utilice el siguiente comando:

openssl req -nodes -newkey rsa:2048 -sha1 -keyout miservidor.key -out servidor.csr

Solicitud de certificado SHA-2

Para generar una CSR SHA2:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout miservidor.key -out servidor.csr

Esta orden creará 2 ficheros: uno público de tipo .csr y uno privado de tipo .key, el cual convendrá mantener a buen recaudo.

Country Name (2 letter code) [AU]: ES
State or Province Name (full name) [Some-State]: .
Locality Name (eg, city) []: Barcelona
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MiSociedad
Organizational Unit Name (eg, section) []: TIC
Common Name (eg, YOUR name) []: subdominio.dominio.tld
Email Address []:
A challenge password []: 
An optional company name []:

Los campos Email Address, optional company name y challenge password son facultativos.

subdominio.dominio.tld indica la dirección que quiere proteger.

La mejor manera de configurar su certificado para proteger el dominio con y sin las www (ej: ejemplo.com y www.ejemplo.com) es generar la CSR con sólo el dominio y no con el sub-dominio www. Al generar el CSR con sólo el dominio, el www está incluido implícitamente.

Se le solicitará el contenido del fichero CSR generado para la creación de su certificado.

Debe entrar en la ventana de administración de Gandi y ejecutar en su servidor:

cat miservidor.csr

copiar la salida del comando anterior, para después pegarla en la ventana de administración de Gandi.

En el caso de ser un certificado multi-direcciones (Wildcard), debe introducir en Common Name : *.dominio.tld
Atención: Un certificado multi-direcciones (Wildcard) protegerá todos los sub-dominios de segundo nivel, pero no será válido para los sub-dominios de nivel superior. El certificado SSL será válido para segundo.dominio.tld y cualquier otro sub-dominio distinto de ‘segundo’. Pero no será válido para tercero.segundo.dominio.tld