Comparador de certificado y clave privada
Comprueba si un certificado SSL y una clave privada forman pareja, directamente en tu navegador. Tu clave privada se procesa en tu dispositivo y nunca se sube.
Tu certificado y tu clave privada se analizan y comparan por completo en tu navegador y nunca se suben. Aun así, evita pegar claves privadas de producción en cualquier herramienta en línea que no controles.
¿Conviertes un formato de clave? Prueba el Conversor PPK ↔ PEM.
Acerca de Comparador de certificado y clave
Este comparador de certificado y clave privada confirma que un certificado X.509 (o un CSR) y una clave privada realmente forman pareja: la comprobación que de otro modo harías con dos comandos openssl y compararías a ojo. Pega tu certificado o CSR en un cuadro y la clave privada en el otro, y te indica MATCH o NO MATCH. Para mostrarte por qué, deriva la clave pública de cada entrada, la serializa a una forma canónica y muestra una huella SHA-256 de cada una: cuando las huellas son idénticas el par es válido, y una diferencia es el clásico desajuste de módulo. Admite claves RSA, gestiona una frase de contraseña opcional para una clave privada cifrada, y ofrece errores claros cuando el PEM no se puede analizar. Todo se ejecuta por completo en tu navegador, así que tu clave privada se procesa en tu dispositivo y nunca se sube.
Características
- Confirma que un certificado y una clave privada forman pareja con un veredicto claro de MATCH / NO MATCH
- También empareja un CSR con la clave privada que lo generó
- Muestra una huella SHA-256 de la clave pública de cada entrada para que veas exactamente por qué coinciden o no
- Detecta y etiqueta si pegaste un certificado o un CSR
- Acepta una frase de contraseña opcional para una clave privada cifrada (PEM)
- Informa de errores legibles ante un PEM mal formado en lugar de fallos crípticos
- Funciona con claves RSA en formatos PEM PKCS#1 y PKCS#8
- Se ejecuta por completo en el cliente, así que la clave privada nunca sale de tu dispositivo
Cómo usar Comparador de certificado y clave
- Pega tu certificado X.509 o CSR en el cuadro de la izquierda.
- Pega la clave privada correspondiente en el cuadro de la derecha.
- Si la clave está cifrada, introduce su frase de contraseña en el campo de abajo.
- Lee el veredicto MATCH o NO MATCH y compara las dos huellas de clave pública.
Ejemplo
Entrada
# The classic openssl equivalent this tool replaces:
openssl x509 -noout -modulus -in cert.pem | openssl sha256
openssl rsa -noout -modulus -in key.pem | openssl sha256
Salida
MATCH
Cert key a1b2c3… (RSA 2048-bit)
Priv key a1b2c3…
Identical fingerprints — the certificate and key belong together.
En lugar de ejecutar dos comandos openssl de módulo y comparar hashes, pega los dos archivos y lee el veredicto.
Errores comunes y solución de problemas
- La herramienta informa de NO MATCH aunque esperabas que los archivos formaran pareja. — Probablemente pegaste un certificado y una clave de pares distintos, o una clave antigua tras reemitir el certificado. Compara las dos huellas y vuelve a comprobar qué clave se usó para crear este certificado o CSR.
- Ves «Could not parse the certificate or CSR». — Asegúrate de haber pegado el bloque PEM completo, incluidas las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----. Un archivo DER (.der/.cer) debe convertirse primero a PEM.
- Ves «Could not decrypt the private key». — Introduce la frase de contraseña correcta en el campo correspondiente. Si la clave usa un cifrado no admitido, quítale la frase de contraseña con tus herramientas de claves y pega el PEM sin cifrar.
- No se reconoce una clave EC. — El emparejamiento admite actualmente claves privadas RSA en PEM. Para una clave EC, compara las claves públicas con tus propias herramientas por ahora.
Preguntas frecuentes
- ¿Cómo compruebo si una clave privada coincide con un certificado?
- Pega el certificado (o CSR) y la clave privada en los dos cuadros. La herramienta deriva la clave pública de cada uno, muestra una huella SHA-256 de ambos e informa de MATCH cuando son idénticas: el mismo resultado que comparar los hashes de módulo con openssl, pero sin la línea de comandos.
- ¿Qué es un desajuste de módulo?
- En RSA, un certificado y su clave privada comparten el mismo módulo, así que producen la misma clave pública. Un desajuste de módulo significa que el certificado y la clave provienen de pares distintos y no funcionarán juntos; por ejemplo, si una clave se regeneró después de emitir el certificado.
- ¿Se sube mi clave privada a algún lugar?
- No. El certificado, el CSR y la clave privada se analizan y comparan por completo en tu navegador. Tu clave privada se procesa en tu dispositivo y nunca se envía a un servidor.
- ¿Puedo emparejar un CSR con su clave privada?
- Sí. Pega una solicitud de firma de certificado en lugar de un certificado y se empareja con la clave privada de la misma forma: útil antes de enviar un CSR a una autoridad de certificación.
- ¿Admite claves privadas cifradas?
- Sí. Si tu clave privada está protegida con una frase de contraseña, introdúcela en el campo debajo del cuadro de la clave y la herramienta la descifra localmente para derivar su clave pública.
- ¿Qué tipos de clave se admiten?
- Se admiten claves privadas RSA en formatos PEM PKCS#1 y PKCS#8, emparejadas con certificados y CSR RSA. El soporte de claves EC podría llegar más adelante.
Herramientas relacionadas
- Conversor PPK ↔ PEM — Convierte claves SSH privadas entre PuTTY .ppk y OpenSSH/PEM (RSA y Ed25519), localmente en tu navegador.
- Generador de claves SSH — Genera pares de claves SSH Ed25519, RSA o ECDSA en tu navegador y descárgalas.
- Decodificador de JWT — Decodifica la cabecera y el payload de un JWT e inspecciona exp/iat (sin verificación).
- Generador de hash — SHA-256 / SHA-1 / SHA-384 / SHA-512 mediante la Web Crypto API.
- Generador de Basic Auth — Genera y decodifica cabeceras de autorización HTTP Basic Auth a partir de un usuario y una contraseña.
Todas las herramientas de ArrayKit