Volver

¿Qué es X.509?

X.509 es un estándar de la UIT-T (Unión Internacional de Telecomunicaciones) que define el formato de los certificados digitales de clave pública. Establecido en 1988, es la base de la seguridad en protocolos como TLS/SSL que protegen la navegación web HTTPS. Un certificado X.509 vincula una identidad (como un nombre de dominio o una organización) con una clave pública mediante una firma digital emitida por una Autoridad de Certificación (CA).

Los certificados X.509 se almacenan en distintos formatos de archivo. El formato PEM (Privacy-Enhanced Mail) usa codificación Base64 con cabeceras -----BEGIN CERTIFICATE----- y es el más común en sistemas Linux y servidores web. El formato DER (Distinguished Encoding Rules) es la representación binaria y se usa en entornos Windows y dispositivos embebidos. El formato PKCS#12/PFX es un contenedor protegido por contraseña que almacena el certificado junto con su clave privada, utilizado para importación en almacenes de certificados y migraciones entre servidores.

Casos de uso comunes

  • Configuración de servidores web: Convertir certificados SSL/TLS entre formatos PEM, DER y PFX según los requisitos específicos de cada servidor (Apache, Nginx, IIS).
  • Migración entre plataformas: Adaptar certificados al formato requerido al cambiar de proveedor de hosting, migrar a la nube o transferir dominios entre servidores con diferentes configuraciones.
  • Importación en almacenes de claves: Convertir certificados a PKCS#12/PFX para importarlos en almacenes de certificados de Windows, Java KeyStores (JKS), dispositivos de red o balanceadores de carga.

Consejos y buenas prácticas

  • PEM es el formato más universal y legible; úsalo como formato de intercambio estándar entre sistemas siempre que sea posible, ya que es compatible con casi todas las plataformas.
  • Los archivos PFX/P12 contienen tanto el certificado como la clave privada protegida por contraseña. Nunca compartas tu clave privada sin cifrar y utiliza contraseñas seguras para proteger estos archivos.
  • Al convertir entre formatos, verifica que la cadena de certificados esté completa (certificado final + intermedios + raíz) para evitar errores de confianza en el navegador o en el cliente TLS.