Cómo Generar Un Certificado En Formato PFX

Última actualización:

Un PFX es la copia de seguridad que posee clave privada de un certificado proveniente desde Internet Explorer. Para generar un certificado en formato PFX los servidores Windows y sus servidores web IIS deben instalar los formatos de archivo de certificado .pfx no estándar.

Después de emitir el certificado que compraste, puedes descargar archivos PEM (.crt, .ca-bundle), que pueden no ser suficientes para la instalación en el alojamiento de Windows. Si tomas un archivo .pfx cifrado, almacena la clave privada (.key), el certificado (.crt) y la cadena de certificados (.ca-bundle).

Pasos para generar un certificado en formato PFX

Aquí te mostramos lo que necesitas para generar un certificado en formato PFX. Te traemos instrucciones para estas y otras situaciones. Puedes crear PFC con OpenSSL, esta es una biblioteca (programa) disponible en todos los sistemas operativos Unix. Si tienes un servidor Linux o trabajas en un programa basado en Linux, definitivamente encontrarás OpenSSL como una opción.

También te puede interesar: 8 Programas Para Hacer Diplomas O Certificados Personalizados

  • Paso 1: En OpenSSL, debes transferir la clave guardada por separado a un archivo PFX (PKCS # 12). Puedes hacer esto con el siguiente comando:openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateekey.key -out output.pfx
  • Paso 2: Después de ingresar la contraseña con la que está protegido el certificado, crea un archivo output.pfx en la libreta de direcciones en la que se encuentra.
  • Paso 3: Selecciona el nombre después del comando anterior.
Generar Un Certificado En Formato PFX
Generar Un Certificado En Formato PFX, siguiendo un conjunto de pasos.

Pasos para generar un certificado en formato PFX en un servidor de Windows (servidor con IIS)

  • Paso 1: Compra PFX del certificado existente, en el sistema operativo Windows, puede exportar un certificado existente desde el almacén de certificados como un archivo PFX usando la consola MMC
  • Paso 2: También puedes optar por este procedimiento en el caso de un servidor web de Windows, si el IIS coloca los certificados en el almacén de certificados.

El servidor web IIS permite exportar el certificado existente en PFX directamente desde la lista de certificados en el servidor. La clave privada y el código CSR se generan durante la creación de la solicitud CSR en IIS y, después de la emisión, el certificado se importa allí.

La exportación es muy fácil, debes hacer clic en el certificado correspondiente con el botón derecho y seleccionar Exportar. Después de ingresar la contraseña que protege el archivo PFX, el certificado se guarda en el soporte de datos.

¿Se puede importar un nuevo certificado y crear un PFX?

Desafortunadamente este procedimiento no es posible. El almacén de certificados en Windows no admite la importación de la clave privada a través de un archivo, por lo que no puedes conectar las claves en PFX en la consola MMC como con OpenSSL. De nuevo, solo puedes importar el PFX al servidor web IIS.

Si deseas importar un nuevo certificado en el servidor de Windows y la clave privada no está en el servidor (no creaste la solicitud de CSR en el servidor), puedes proceder de la siguiente manera:

  • Crea el PFX en otro lugar (por ejemplo, en OpenSSL) y luego importa el certificado con PFX.
  • Crea una nueva solicitud (solicitud CSR) en el servidor y vuelve a emitir el certificado.

Volver a emitir significa que el certificado se volverá a emitir de forma gratuita y que puedes importarlo a la clave privada existente. Puedes realizar esta operación tu mismo en la administración de clientes.

¿Cómo generar un certificado en formato PFX en una aplicación de terceros?

Puedes crear el archivo PFX a partir de claves independientes en un programa gráfico y así evitar el uso de líneas de comando en OpenSSL. Te recomendamos la aplicación de código abierto XCA como el mejor programa para este propósito. En este programa intuitivo puedes administrar todos tus certificados y claves.

La principal ventaja es la asignación automática de las claves entre sí, no tienes que investigar qué clave privada coincide con qué certificado. Importar las claves es fácil y es posible exportar en todos los formatos.

Quizás te pueda interesar: Archivos SKP – A qué se refieren, características, cómo se abren

¿Cuándo puedes necesitar PFX?

Existen diferentes circunstancias en las que puedes necesitar PFX y aquí te mostramos por qué es importante:

  • Deseas instalar el certificado en el servidor de Windows (en el administrador de IIS), pero la clave CSR no se creó en IIS.
  • Necesitas el certificado para el servidor de Windows, pero el IIS para generar CSR no está disponible para ti.
  • Creaste la clave CSR en el SSL market y guardaste la clave privada. Ahora deseas utilizar el certificado en el servidor de Windows.
  • Has comprado un certificado de firma de código y necesitas el archivo PFX para firmar.

¿Es seguro el archivo PFX?

El archivo PFX siempre está protegido con contraseña porque contiene la clave privada. Al crear el archivo, eliges la contraseña de manera responsable, ya que esto también puede protegerlo del uso indebido del certificado.

El atacante solo estaría satisfecho si la contraseña del archivo robado fuera «12345», cuanto más rápido podrías hacer un mal uso del certificado.

Con un certificado de firma de código robado, el atacante puede firmar cualquier archivo con el nombre de tu empresa. Por lo tanto, es importante mantener el archivo PFX en un lugar seguro o solicitar un certificado EV de firma de código.

Los certificados de Code Signing EV se almacenan en tokens y su mal uso en caso de robo es prácticamente imposible: si la contraseña se ingresa incorrectamente varias veces, el token será bloqueado.

¿Qué debes tomar en cuenta para instalar un certificado SSL en un sitio Web?

Los primero que debes tomar en cuenta para instalar un certificado SSL en un sitio web, es que debes tener tres archivos: un archivo con un certificado, una clave privada y una cadena de certificados. Ya tienes la clave privada, la creaste junto con el CSR. Recibirás el resto de los archivos después de que se emita el certificado.

El archivo de certificado tendrá una extensión .CRT y el archivo de cadena de certificados tendrá una extensión .CA-BUNDLE. Si abres cualquiera de los archivos en un editor de texto, el texto comienza con las palabras «BEGIN CERTIFICATE».

Generar un certificado en formato PFX es muy útil porque es la copia de seguridad con clave privada de un certificado (exportado desde Internet Explorer).

La extensión PFX es usada en los servidores de Windows para los archivos que tienen tanto los archivos de clave pública (sus archivos de certificados SSL, proporcionada por DigiCert) y tu clave privada que corresponde a tus certificados (generado por el servidor cuando la CSR se generó).

Deja un comentario