Comparador de claves de certificado

We don't store your Private Keys and CSR on our servers.

What to Check?

Check if a Certificate and a Private Key match
Check if a CSR and a Certificate match

Paste Your Certificate Text

Paste Your Private Key

Paste Your CSR

Acerca de Comparador de claves de certificado

El verificador de certificado y clave privada es una herramienta online que compara tu certificado SSL/TLS con su clave privada (o CSR) para confirmar que pertenecen al mismo par criptografico. Si alguna vez has intentado instalar un certificado en tu servidor y nginx o Apache te ha devuelto un error de "key mismatch", sabes lo frustrante que resulta. ToolsPivot te permite hacer esa comprobacion en segundos, sin necesidad de abrir una terminal ni recordar comandos de OpenSSL.

Para que sirve un verificador de clave y certificado

Un verificador de clave y certificado analiza los modulos criptograficos de ambos archivos y determina si forman un par valido. En la practica, esto significa que extrae el modulo RSA (o la curva ECC) tanto del certificado como de la clave privada y los compara.

Por que es necesario verificar la coincidencia

Cada vez que generas una CSR en tu servidor, se crea un par de claves: una publica (que va dentro del certificado emitido por la CA) y una privada (que se queda en tu servidor). El problema es que en entornos de produccion con varios dominios, renovaciones frecuentes y equipos de trabajo rotando, es facilisimo confundir archivos. Un certificado de 2024 con una clave de 2023, por ejemplo. Y el servidor, sin contemplaciones, rechaza la configuracion.

Quien necesita esta herramienta

Administradores de sistemas que gestionan decenas de dominios en servidores dedicados o VPS la usan a diario. Pero tambien desarrolladores web que configuran HTTPS en sus proyectos con WordPress o Shopify, equipos DevOps que automatizan despliegues con certificados wildcard, y freelancers que ofrecen servicios de verificacion SSL a sus clientes. En cualquiera de estos casos, comprobar la coincidencia antes de subir archivos al servidor ahorra tiempo y evita caidas del sitio.

Ventajas de usar el verificador de ToolsPivot

• Resultado instantaneo sin terminal. Pegas el contenido de ambos archivos y obtienes la respuesta en menos de dos segundos, sin instalar OpenSSL ni ejecutar comandos en la linea de comandos.

• Compatible con RSA y ECC. La herramienta soporta tanto claves RSA (las mas habituales) como claves de curva eliptica, que cada vez ganan mas terreno en certificados modernos.

• Verificacion triple: certificado, clave y CSR. No solo compara certificado con clave privada. Tambien puedes verificar que una CSR corresponde a la clave o al certificado, algo que resulta muy util antes de enviar la solicitud a la CA.

• Sin almacenamiento de datos. Los archivos que introduces no se guardan en ningun servidor. La comprobacion se ejecuta y los datos se descartan, un punto critico cuando trabajas con claves privadas.

• Previene errores de instalacion costosos. Un mismatch no detectado puede tumbar un sitio web completo durante horas. Comprobarlo antes cuesta literalmente 10 segundos.

• Interfaz en espanol y sin registro. No necesitas crear cuenta ni introducir datos personales. Accedes, pegas los archivos en formato PEM (Base64) y listo.

• Ahorra comandos de OpenSSL. Para quien no domina la terminal, evita tener que recordar secuencias como openssl x509 -noout -modulus o calcular hashes SHA-256 manualmente.

Funcionalidades principales

• Comparacion de modulos RSA. Extrae y compara el modulo matematico del certificado y la clave privada para confirmar que son identicos.

• Soporte de claves ECC. Verifica certificados basados en curvas elipticas (ECDSA), cada vez mas frecuentes en configuraciones modernas de TLS 1.3.

• Validacion de CSR incluida. Comprueba si tu solicitud de firma de certificado corresponde a la clave privada antes de enviarla a la autoridad certificadora. Esto complementa lo que puedes hacer con el decodificador de CSR.

• Entrada en formato PEM (Base64). Acepta el formato estandar de texto que empieza con -----BEGIN CERTIFICATE----- y -----BEGIN PRIVATE KEY-----.

• Deteccion automatica de tipo. La herramienta identifica si estas introduciendo un certificado, una clave privada o una CSR sin que tengas que especificarlo.

• Resultado claro: coincide o no coincide. Nada de codigos crípticos ni hashes para interpretar. Un mensaje directo que cualquiera entiende.

• Procesamiento local y seguro. La comparacion se realiza de forma que tu clave privada nunca queda expuesta, a diferencia de ejecutar comandos en servidores compartidos.

• Compatible con certificados wildcard y multidominio. Funciona igual con certificados de un solo dominio que con wildcards (*.tudominio.com) o certificados SAN.

• Soporte para cadenas de certificados. Si tu archivo contiene el certificado intermedio concatenado, la herramienta lo gestiona sin problemas.

• Integracion con flujo SSL completo. Usala junto al convertidor SSL para transformar formatos antes de verificar, o con el decodificador de certificados para inspeccionar los detalles.

Como verificar que tu certificado coincide con la clave privada

Paso 1: Abre tu archivo de certificado (.crt o .pem) con un editor de texto y copia todo el contenido, incluyendo las lineas BEGIN y END.

Paso 2: Pega el certificado en el primer campo del verificador de ToolsPivot.

Paso 3: Abre tu archivo de clave privada (.key) y copia su contenido completo. Si la clave esta protegida con contrasena, necesitaras desencriptarla primero.

Paso 4: Pega la clave en el segundo campo. Si quieres verificar una CSR en lugar de una clave, puedes pegarla aqui.

Paso 5: Pulsa el boton de verificacion. En uno o dos segundos obtendras un resultado claro: los archivos coinciden o no coinciden.

Cuando necesitas verificar la coincidencia de certificado y clave

Esta herramienta te saca de apuros en situaciones muy concretas. La mas habitual: estas renovando un certificado SSL y no estas seguro de cual es la clave privada correcta entre los varios archivos .key que tienes en el servidor.

• Renovacion de certificados SSL. Al renovar, la CA emite un certificado nuevo pero la clave puede ser la misma o una nueva, segun como hayas generado la CSR.

• Migracion de servidor o hosting. Cuando mueves un sitio web de un proveedor a otro, necesitas asegurarte de que has exportado la clave correcta. Un comprobador de hosting te confirma la configuracion del nuevo servidor, pero la coincidencia clave-certificado la verificas aqui.

• Instalacion en Nginx, Apache o IIS. Antes de reiniciar el servidor web con la nueva configuracion SSL, comprueba el match para evitar downtime.

• Configuracion de CDN o balanceador de carga. Servicios como Cloudflare o AWS ALB requieren subir certificado y clave por separado. Un error aqui y el sitio deja de funcionar.

• Emision de certificados wildcard. Con certificados que cubren *.tudominio.com, es facil mezclar claves si gestionas varios subdominios desde distintas maquinas.

• Auditoria de seguridad. En revisiones periodicas, verificar que cada certificado activo tiene su clave correcta asociada es una buena practica que evita sorpresas.

• Despues de generar una CSR nueva. Tras usar un generador de CSR, conviene verificar que la clave y la solicitud estan vinculadas antes de enviarla a la CA.

Eso si: si el resultado es "no coincide", no entres en panico. Lo mas probable es que simplemente tengas la clave equivocada. Revisa la fecha de creacion de tus archivos o genera un nuevo par CSR/clave.

Casos de uso reales en el entorno hispanohablante

Administrador de sistemas en una agencia de Madrid

Situacion: Una agencia de marketing digital gestiona 35 dominios de clientes en un servidor dedicado. Llega la renovacion trimestral de certificados y hay que actualizar 12 de ellos.

Como lo resuelve:

• Descarga los nuevos certificados desde la CA
• Usa el verificador para confirmar que cada .crt corresponde a su .key
• Detecta que dos certificados no coinciden con las claves del servidor (se habian regenerado CSRs sin actualizar los .key)

Resultado: Evita al menos 2 horas de troubleshooting en produccion y ninguno de los sitios de clientes sufre caida por mismatch.

Desarrollador freelance en Workana configurando HTTPS

Situacion: Un desarrollador freelance en Colombia acepta un proyecto en Workana para migrar un e-commerce de HTTP a HTTPS. El cliente le envia el certificado SSL por correo, pero sin indicar cual de las tres claves privadas del servidor es la correcta.

Como lo resuelve:

• Prueba cada una de las claves contra el certificado con el verificador
• Identifica la clave correcta al segundo intento
• Aprovecha para verificar la CSR y confirmar que los datos del dominio son correctos

Resultado: Completa la configuracion HTTPS en la misma tarde, sin necesidad de generar un certificado nuevo.

Equipo DevOps en una startup de Buenos Aires

Situacion: El equipo maneja despliegues automatizados con Docker y Kubernetes. Cada entorno (desarrollo, staging, produccion) tiene su propio certificado wildcard. Tras una actualizacion del pipeline CI/CD, los certificados de staging dejaron de funcionar.

Como lo resuelve:

• Comparan certificado y clave de staging con el verificador
• Confirman que el pipeline estaba usando la clave de desarrollo por un error en la variable de entorno
• Corrigen la referencia y verifican de nuevo antes de desplegar

Resultado: Resuelven el incidente en 15 minutos en lugar de depurar logs del servidor durante horas.

Estudiante de ingenieria preparando su TFG sobre seguridad web

Situacion: Un estudiante de la Universidad Complutense necesita demostrar en su Trabajo de Fin de Grado como funciona la criptografia asimetrica en certificados SSL. Quiere incluir capturas de pantalla de una herramienta real.

Como lo resuelve:

• Genera un certificado autofirmado con OpenSSL para pruebas
• Usa el verificador para mostrar como el sistema detecta coincidencias y discrepancias
• Incluye capturas de ambos resultados (match y mismatch) en el trabajo

Resultado: Complementa la parte teorica de la criptografia RSA con evidencia practica, algo que el tribunal valora especialmente.

Tienda online en MercadoLibre Shops con certificado propio

Situacion: Un vendedor que gestiona su propia tienda online (fuera de MercadoLibre pero con integraciones via API) necesita renovar el certificado SSL de su dominio para mantener la conexion segura con la pasarela de pago.

Como lo resuelve:

• Recibe el certificado renovado por email desde la CA
• Verifica la coincidencia con la clave privada del servidor antes de instalarlo
• Comprueba ademas con el comprobador de DNS que el dominio apunta correctamente al servidor

Resultado: La tienda mantiene el certificado activo sin ninguna interrupcion en el servicio de pago.

Como funciona la verificacion por detras: el modulo RSA

Puede que te preguntes que compara exactamente la herramienta. En los certificados RSA (que representan la gran mayoria de los certificados SSL en uso), tanto el certificado como la clave privada contienen un componente matematico llamado modulo. Es un numero enorme, de cientos de digitos, que es identico en ambos archivos si pertenecen al mismo par.

Lo que hace el verificador es extraer ese modulo de cada archivo, calcular un hash (normalmente SHA-256) de cada uno y comparar los resultados. Si los hashes coinciden, los archivos forman un par valido. Si no, algo fallo en el proceso: quiza la CSR se genero con una clave distinta, o el certificado corresponde a otra solicitud.

Para claves ECC el principio es similar, pero en lugar de comparar modulos se comparan los parametros de la curva eliptica y la clave publica derivada. El resultado practico es el mismo: coinciden o no coinciden.

Y un detalle que pocos mencionan: esta misma logica es la que ejecuta OpenSSL cuando usas comandos como openssl x509 -noout -modulus. La diferencia es que aqui no necesitas terminal ni recordar la sintaxis. Algo que se agradece a las 2 de la manana con un servidor caido.

Errores frecuentes al verificar certificados SSL

Trabajar con certificados no es complicado, pero si tiene sus trampas. Estos son los errores que vemos con mas frecuencia:

Confundir certificados de distintas renovaciones. Guardas los archivos en la misma carpeta sin renombrarlos y acabas mezclando el .crt de enero con el .key de octubre. Tip: incluye la fecha en el nombre del archivo (dominio_2025_01.crt).

Copiar el certificado sin las lineas BEGIN/END. Al pegar el contenido en la herramienta, asegurate de incluir las lineas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----. Sin ellas, el formato PEM no es valido y la verificacion falla.

Usar una clave privada encriptada con contrasena. Si tu .key empieza con -----BEGIN ENCRYPTED PRIVATE KEY-----, necesitas desencriptarla primero. Puedes hacerlo con la utilidad de cifrado de contrasenas o con OpenSSL.

Pegar la cadena de certificados completa en lugar del certificado individual. Algunos proveedores envian un archivo que incluye el certificado del dominio mas los intermedios. Para la verificacion, lo ideal es usar solo el certificado del dominio (el primero del archivo).

Generar la CSR en un servidor y buscar la clave en otro. Esto pasa mas de lo que parece en equipos donde la generacion y la instalacion las hacen personas distintas. La clave privada siempre se crea en la misma maquina donde generas la CSR.

Diferencia entre Certificate Key Matcher, SSL Checker y CSR Decoder

A veces hay confusion entre estas tres herramientas porque las tres trabajan con certificados SSL, pero cada una resuelve un problema distinto.

El verificador de certificado y clave (esta herramienta) compara dos archivos para confirmar que forman un par. El SSL Checker analiza un certificado ya instalado en un servidor y comprueba su validez, fechas de expiracion y cadena de confianza. Y el decodificador de CSR extrae la informacion contenida dentro de una solicitud de firma.

A efectos practicos: primero generas la CSR (y la verificas con el decodificador), luego compruebas que el certificado emitido coincide con tu clave (con esta herramienta) y finalmente, tras instalarlo, confirmas que todo funciona bien en el servidor (con el SSL Checker).

Herramientas relacionadas

Completa tu flujo de trabajo con estas herramientas de ToolsPivot:

• Comprobador de compresion GZIP: Verifica si tu servidor tiene activada la compresion GZIP para mejorar la velocidad de carga.
• Verificador de seguridad web: Analiza tu sitio en busca de amenazas, malware y problemas de seguridad.
• Consulta de cabeceras HTTP: Revisa las cabeceras de respuesta de cualquier URL para diagnosticar problemas de configuracion.
• Generador de contrasenas: Crea contrasenas seguras para proteger el acceso a tus servidores y paneles de control.
• Comprobador SEO: Analiza los factores SEO on-page de tu sitio web tras configurar HTTPS correctamente.

Preguntas frecuentes

¿Que es un verificador de certificado y clave privada?

Es una herramienta que compara el modulo criptografico de un certificado SSL con el de una clave privada para confirmar que pertenecen al mismo par. Si los modulos coinciden, puedes instalar ambos archivos en el servidor sin problemas.

¿Es gratis el verificador de ToolsPivot?

Completamente. No hay limite de verificaciones, no necesitas registrarte y no se almacenan tus datos.

¿Mis claves privadas estan seguras al usar esta herramienta?

La verificacion no almacena ninguno de los datos que introduces. Aun asi, como buena practica general, evita compartir claves privadas por canales no seguros y usa siempre conexiones HTTPS al acceder a herramientas de este tipo.

¿Que pasa si el resultado dice que no coinciden?

Lo mas probable es que estes usando una clave privada que no corresponde a ese certificado. Revisa si tienes varias claves en el servidor y prueba con cada una. Si ninguna coincide, tendras que generar una nueva CSR con su clave asociada y solicitar la reemision del certificado.

¿Puedo verificar tambien una CSR contra la clave privada?

Si, el verificador acepta CSR ademas de certificados. Esto es util para confirmar que la solicitud que vas a enviar a la CA se genero con la clave correcta.

¿Funciona con certificados de Let's Encrypt?

Sin ninguna diferencia. Let's Encrypt emite certificados RSA y ECDSA estandar, y el verificador los procesa igual que cualquier otro.

¿Que formato necesitan los archivos?

Formato PEM (Base64), que es el texto que empieza con -----BEGIN CERTIFICATE----- o -----BEGIN PRIVATE KEY-----. Si tus archivos estan en formato DER (binario) o PFX, necesitaras convertirlos primero.

¿Sirve para certificados wildcard?

Si. Un certificado wildcard (*.tudominio.com) tiene el mismo formato interno que uno de dominio unico. La verificacion funciona exactamente igual.

¿Por que mi servidor devuelve error de "key mismatch" si antes funcionaba?

Lo mas comun es que hayas renovado el certificado pero no hayas actualizado la clave privada en la configuracion del servidor, o al reves. Tambien puede ocurrir si alguien del equipo genero una CSR nueva durante la renovacion sin comunicarlo.

¿Hay diferencia entre verificar online y verificar con OpenSSL?

El resultado es el mismo: ambos comparan los modulos criptograficos. La diferencia es la comodidad. OpenSSL requiere terminal y recordar sintaxis; esta herramienta requiere dos copiar y pegar.

¿Cuantas veces puedo usar el verificador?

Las que necesites. No hay limite diario, semanal ni mensual. Verificar un par de archivos consume recursos minimos.

¿Funciona con certificados autofirmados?

Si. Los certificados autofirmados (self-signed) tienen la misma estructura que los emitidos por una CA. El verificador compara los modulos independientemente de quien haya firmado el certificado.

¿Puedo usar esta herramienta desde el movil?

Si, la interfaz es responsive. Eso si, copiar y pegar contenido PEM desde el movil no es la experiencia mas comoda del mundo, asi que probablemente prefieras hacerlo desde un ordenador.

¿Que hago si mi clave privada esta encriptada con contrasena?

Necesitaras desencriptarla antes de pegarla en el verificador. Con OpenSSL puedes hacerlo con el comando openssl rsa -in clave_encriptada.key -out clave_limpia.key. El generador de hash MD5 tambien puede serte util para verificar la integridad de tus archivos.