🔐 Guía Definitiva: Generar Archivos .KEY y .CRT con Win-ACME para Hosting

 Muchos proveedores de hosting compartido o paneles de control personalizados (que no usan cPanel/Plesk) requieren que el usuario copie y pegue el texto de la clave privada (.key) y el certificado (.crt). Esto es un desafío cuando usamos Let's Encrypt, ya que sus herramientas suelen automatizar la instalación en un servidor específico.

Si necesitas generar los archivos PEM (.key y .crt) en tu computadora local para instalarlos manualmente en un servidor remoto, la herramienta win-acme (o wacs.exe) es tu mejor aliada.

Aquí te mostramos el proceso, paso a paso, usando la validación manual por DNS (la más confiable).

---

1. Requisitos Previos

1. Windows: Estarás ejecutando win-acme en una máquina Windows (PC local).

2. win-acme: Descarga la última versión de wacs.exe desde el sitio oficial de win-acme.

3. Acceso DNS: Debes tener acceso al panel de control de tu dominio para poder crear un registro TXT.

---

2. Proceso de Generación con win-acme

Ejecuta wacs.exe como Administrador para iniciar el proceso.

Paso 1: Modo de Opciones Completas e Identificador

Dado que necesitamos exportar los archivos en un formato específico, debemos usar las opciones completas.

1. En el menú principal, elige:

   • M: Create certificate (full options).

2. Source (Fuente): Elige Manual input e ingresa tu nombre de dominio (ej: midominio.com).

3. Separación de Certificados: Elige:

   • 4: Single certificate. (Necesitas solo un archivo de clave y un archivo de certificado).

Paso 2: La Decisión Crucial – Validación

Como estamos generando el certificado en tu PC local para un servidor remoto, no podemos usar la validación HTTP (que exige que el archivo esté instantáneamente en el servidor). Usaremos la validación DNS, que nos da tiempo para actuar.

1. Cuando se te pregunte por el método de validación, elige:

   • 6: [dns] Create verification records manually (auto-renew not possible).

   2.

Paso 3: Tipo de Clave y Almacenamiento

Estos pasos definen el formato de los archivos que obtendrás.

1. CSR (Tipo de Clave): Para máxima compatibilidad con cualquier hosting, elige:

   • 2: RSA key.

2. Storage (Almacenamiento): Este es el paso final para obtener los archivos de texto que necesitas. Elige:

   • PEM encoded files (Generalmente es la opción 2 o 3 del menú Store).

3. Ruta y Contraseña:

   • File path: Ingresa una ruta fácil, como C:\win-acme_certs.

   • Contraseña: Cuando pregunte por la contraseña, elige None (n) o la opción para dejarla vacía. Esto es vital para que puedas copiar el texto del archivo .key sin problemas.

Paso 4: La Pausa de Validación

win-acme ahora se detendrá y te mostrará un mensaje crucial, similar a esto:

"Please create a TXT record _acme-challenge.tudominio.com with value [CÓDIGO ÚNICO Y LARGO]"

¡No presiones Enter aún!

1. Crea el Registro TXT: Ve a tu panel de hosting/dominio, busca el Editor de Zona DNS y crea el nuevo registro con el nombre y el valor exacto proporcionado por win-acme.

2. Verificación (Opcional pero Recomendado): Abre el Símbolo del Sistema de Windows y verifica la propagación:

   Bash

   nslookup
   set type=TXT
   _acme-challenge.tudominio.com
   exit
   

   Si ves el código largo en la respuesta, está listo.

3. Finaliza la Validación: Vuelve a win-acme y presiona Enter.

Si todo es correcto, verás el mensaje Authorization result: valid y el programa confirmará que los archivos se han exportado.

---

3. Instalación Manual (Copiar y Pegar)

Una vez que el proceso de win-acme termine, ve a la carpeta que definiste (C:\win-acme_certs).

Encontrarás archivos con la extensión .pem. Para obtener el texto necesario:

1. Abre los archivos con el Bloc de notas o cualquier editor de texto simple.

2. Clave Privada (.key):

   • Copia todo el contenido del archivo privkey.pem.

   • Pégalo en el campo Private Key (Clave Privada) de tu hosting.

3. Certificado (.crt) y Cadena:

   • Copia todo el contenido del archivo fullchain.pem.

   • Pégalo en el campo Certificate (Certificado) de tu hosting. Este archivo contiene tu certificado y la cadena de certificados intermedia, lo cual es lo ideal.

¡Listo! Tu certificado SSL ya está instalado y activo.

---

📝 Nota Final sobre la Renovación

Recuerda que, como elegiste el método manual, el certificado no se renovará automáticamente. win-acme crea una tarea programada para recordarte la renovación, pero cada 60-90 días deberás repetir la Fase 4 (Validación DNS) con el nuevo código que te proporcione.

Cómo generar un certificado SSL gratuito con archivos CRT y KEY usando Let's Encrypt

 Tener un sitio web seguro es fundamental en 2025. Un certificado SSL no solo protege la información de tus visitantes, sino que también mejora tu posicionamiento en Google y evita advertencias de seguridad en los navegadores.

En este artículo te explico cómo generar un certificado SSL gratuito con Let's Encrypt, obteniendo los archivos CRT y KEY, que suelen ser requeridos por la mayoría de los servicios de hosting.

---

✅ ¿Qué es Let's Encrypt?

Let's Encrypt es una autoridad certificadora gratuita y automatizada, reconocida por todos los navegadores modernos. Permite emitir certificados SSL/TLS sin costo, válidos por 90 días y renovables automáticamente.

---

📁 ¿Qué son los archivos CRT y KEY?

• .CRT: Es el archivo del certificado digital. Contiene la clave pública, la identidad del dominio y la firma de la autoridad certificadora.

• .KEY: Es la clave privada asociada al certificado. Debe mantenerse segura y nunca compartirse.

Tu proveedor de hosting normalmente te pedirá subir ambos archivos para habilitar el cifrado HTTPS en tu sitio.

---

🛠️ Paso a paso para generar un certificado SSL gratuito con ZeroSSL

Si no tienes acceso al servidor (por ejemplo, en un hosting compartido), la forma más fácil es usando ZeroSSL, una plataforma amigable que trabaja con Let's Encrypt.

1. Entra a https://zerossl.com/free-ssl

Haz clic en "Crear certificado gratuito" e introduce tu dominio (ej: www.tusitio.com).

Puedes agregar varios subdominios si deseas.

2. Crea una cuenta

Regístrate gratis con tu correo o cuenta de Google. Esto es necesario para gestionar tus certificados y recibir alertas de renovación.

3. Elige método de validación

Debes demostrar que eres el propietario del dominio. Tienes tres opciones:

• Validación por HTTP: ZeroSSL te da un archivo para subir a tu hosting vía FTP. Muy fácil si usas cPanel.

• Validación por DNS (TXT): Alternativa si gestionas tu dominio desde Cloudflare, GoDaddy, etc.

• Validación por correo: debes tener un correo bajo el mismo dominio que vas a proteger

Sigue las instrucciones y espera la validación (usualmente en menos de 5 minutos).

4. Descarga los archivos CRT y KEY

Una vez validado el dominio, ZeroSSL te dará un archivo .zip con:

• certificate.crt ✅

• private.key ✅

• ca_bundle.crt (opcional, para la cadena de confianza completa)

---

🌐 ¿Cómo subir el CRT y KEY a tu hosting?

1. Entra al panel de control de tu proveedor (cPanel, Plesk, DirectAdmin, etc.).

2. Busca la sección SSL/TLS o Seguridad > Certificados.

3. Selecciona “Instalar certificado SSL”.

4. Copia el contenido del archivo certificate.crt y private.key en los campos correspondientes.

5. (Opcional) Si se solicita, también incluye el contenido de ca_bundle.crt.

Guarda los cambios y activa HTTPS en tu dominio.

---

🔁 ¿Cada cuánto se debe renovar?

Los certificados Let's Encrypt tienen una validez de 90 días. Puedes:

• Renovarlo manualmente desde ZeroSSL (te enviarán recordatorios).

• O usar Certbot si tienes acceso root al servidor (ideal para automatizar).

---

🔎 ¿Cómo verificar si tu SSL está funcionando?

Visita tu sitio con https://. Deberías ver el candado 🔒 en la barra del navegador. También puedes usar herramientas como:

• SSL Checker de Qualys

• Why No Padlock?

---

🧠 Conclusión

Instalar un certificado SSL gratuito con Let's Encrypt es fácil, rápido y mejora la confianza de los visitantes en tu sitio. Con herramientas como ZeroSSL, no necesitas conocimientos técnicos avanzados ni acceso al servidor.