Creación de un archivo PFX

Un archivo con la extensión PFX indica un certificado en el formato PKCS#12; en él está guardado el certificado, el certificado Intermediate de la autoridad necesario para una credibilidad del certificado y la clave privada para el certificado. Puede imaginárselo como un archivo en el que está guardado todo lo que necesita para instalar el certificado.

¿Cuándo necesitamos crear un PFX? Se trata sobre todo de las siguientes situaciones:

  • Instalaremos el certificado en Windows Server (IIS) pero CSR request no fue creado en ISS.
  • Se necesita el certificado para Windows Server pero no disponemos de IIS para generar CSR.
  • Hemos creado CSR en SSLmarket y hemos guardado la clave privada. Ahora es necesario instalar el certificado en Windows Server.
  • Tenemos el certificado Code Signing y necesitamos PFX para firmar.

En SSLmarket proporcionamos una instrucción para estas (y otras) situaciones.

Creación de PFX mediante OpenSSL

OpenSSL es una biblioteca (programa) disponible en cada sistema operativo unix. Si dispone de un servidor Linux o trabaja en Linux seguramente encontrará OpenSSL entre los programas disponibles.

En OpenSSL es necesario juntar las llaves guardadas por separado en un solo archivo PFX (PKCS#12). Este procedimiento se realiza mediante el comando: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx

Después de indicar la contraseña que protegerá el certificado, se creará en el directorio (en que se encuentra), el archivo vystup.pfx (el nombre del archivo se elige en el comando anteriormente mencionado).

Creación de PFX en Windows (Servidor con IIS)

Creación de PFX del certificado existente

Del sistema operativo Windows es posible exportar el certificado existente del depósito de certificados como un archivo PFX mediante la cónsola MMC. Puede optar por este procedimiento también en el servidor Windows si IIS se guarda en el depósito de certificados.

El servidor web IIS permite una exportación del certificado existente directamente del resumen de los certificados en el servidor. La clave privada y CSR serán creados durante la solicitud CSR en IIS y después de la emisión, el certificado vuelve a ser importado (encontrará los dos pasos en una videoguía)).

.

La exportación es muy fácil: haga clic en el certificado correspondiente mediante el botón derecho y elija Exportar. Después de que elegir la contraseña que protegerá el archivo PFX, el certificado se guardará en el disco.

Exportación del certificado SSL desde IIS

Importación de un certificado nuevo y creación de PFX

Desgraciadamente, no es posible realizar este procedimiento. El depósito de certificados Windows no permite importar la clave privada del archivo y por lo tanto, en la cónsola MMC no es posible juntar las claves a PFX como en OpenSSL. En el servidor web IIS se puede importar solamente PFX, así pues es el mismo caso que el anterior.

Si necesitamos importar en el Servidor Windows un certificado nuevo y no hay una clave privada en el servidor (no haya creado CSR request en el servidor) puede seguir los siguientes pasos:

  • Crear PFX en otro sitio (OpenSSL u otra forma) y después importar el certificado mediante PFX.
  • Crear una nueva solicitud en el servidor (CSR request) y realizar la llamada reissue del certificado.
Reissue significa que el certificado será emitido nuevamente de forma gratuita y se puede importar a la clave privada existente. Puede realizar reissue usted mismo(a) en la administración de cliente.

Creación de PFX mediante una aplicación de terceros

Podemos crear el archivo PFX de las claves independientes en un programa gráfico y evitar así la necesidad de utilizar OpenSSL en la terminal.

El mejor programa para este objetivo es la aplicación opensource XCA. En este intuitivo programa puede gestionar todos los certificados y claves. La mayor ventaja es un emparejamiento de las claves correspondientes; así pues no es necesario averiguar qué clave privada le corresponde a cada uno de los certificados. La importación de las claves es fácil y la exportación se puede realizar a todos los formatos conocidos.

program XCA pro správu šifrovacích klíčů

(In)seguridad del archivo PFX

El archivo PFX está siempre protegido con una contraseña puesto que contiene la clave privada. Al crear PFX, elije la contraseña responsablemente ya que puede protegerte incluso de un uso indebido del certificado. Al atacante seguramente le gustaría mucho si la contraseña para el archivo PFX robado fuera "12345": tanto antes podría empezar a utilizar el certificado.

Con el certificado Code signing, el atacante puede firmar cualquier archivo en nombre de su empresa. Por lo tanto es importante proteger el archivo PFX u optar por el certificado Code Signing EV. El certificado Code Signing EV está guardado en el token y si es robado queda prácticamente descartado su uso indebido; después de que se introduzca varias veces una contraseña incorrecta el token será bloqueado.

En caso de necesidad no dude en contactar con nuestra Atención al cliente que le ayudará a elegir el certificado y a resolver cualquier duda.