Creación de un archivo PFX

Un archivo con la extensión PFX indica un certificado en el formato PKCS#12; en él está guardado el certificado, el certificado Intermediate de la autoridad necesario para una credibilidad del certificado y la clave privada para el certificado. Puede imaginárselo como un archivo en el que está guardado todo lo que necesita para instalar el certificado.

SSLmarket no permite descargar la clave privada de la administración porque esto requeriría que la clave privada sea guardada en nuestro sistema. Esto no lo vamos a hacer nunca.

La clave privada la puede crear en nuestra web junto con CSR pero sólo usted mismo(a) puede guardarla (para la posterior instalación del certificado).

¿Cuándo usted necesita crear un PFX? Se trata sobre todo de las siguientes situaciones:

  • Va a instalar el certificado en Windows Server (IIS) pero CSR request no fue creada en ISS.
  • Usted necesita el certificado para Windows Server pero no dispone de IIS para generar CSR.
  • Usted ha creado CSR en SSLmarket y ha guardado la clave privada. Ahora necesita instalar el certificado en Windows Server.
  • Usted tiene el certificado Code Signing y necesita PFX para las firmas.

Proporcionamos una instrucción para estas (y otras) situaciones.

Creación de PFX mediante OpenSSL

OpenSSL es una biblioteca (programa) disponible en cada sistema operativo unix. Si usted dispone de un servidor Linux o trabaja en Linux seguramente encontrará OpenSSL entre los programas disponibles.

En OpenSSL es necesario juntar las llaves guardadas por separado en un solo archivo PFX (PKCS#12). Este procedimiento lo realizará mediante la orden: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx

Después de que usted indique la contraseña que protegerá el certificado será creado, en el directorio (en que se encuentra), el archivo vystup.pfx (el nombre del archivo lo elige en la orden anteriormente mencionada).

Creación de PFX en Windows (Servidor con IIS)

Creación de PFX del certificado existente

Del sistema operativo Windows es posible exportar el certificado existente del depósito de certificados como un archivo PFX mediante la cónsola MMC. Usted puede optar por este procedimiento también en el servidor Windows si IIS lo guarda en el depósito de certificados.

El servidor web IIS permite una exportación del certificado existente directamente del resumen de los certificados en el servidor. La clave privada y CSR serán creadas durante la solicitd CSR en IIS y después de la emisión, el certificado vuelve a ser importado (usted encontrará los dos pasos en una videoguía).

La exportación es muy fácil: haga clic en el certificado correspondiente mediante el botón derecho y elige Exportar. Después de que elija la contraseña que protegerá el archivo PFX el certificado será guardado en el disco.

Export SSL certifikátu z IIS

Importación de un certificado nuevo y creación de PFX

Desgraciadamente, no es posible realizar este procedimiento. El depósito de certificados Windows no permite importar la clave privada del archivo y por lo tanto, en la cónsola MMC no es posible juntar las claves a PFX como en OpenSSL. En el servidor web IIS puede importar solamente PFX, así pues es el mismo caso que el anterior.

Si necesita importar en el Servidor Windows un certificado nuevo y no hay una clave privada en el servidor (no haya creado CSR request en el servidor) puede seguir los siguientes pasos:

  • Crear PFX en otro sitio (OpenSSL u otra forma) y después importar el certificado mediante PFX.
  • Crear una nueva solicitud en el servidor (CSR request) y realizar la llamada reissue del certificado.
Reissue significa que el certificado será emitido nuevamente de forma gratuita y usted puede importarlo a la clave privada existente. Puede realizar reissue usted mismo(a) en la administración de cliente.

Creación de PFX mediante una aplicación de terceros

Usted puede crear el archivo PFX de las claves independientes en un programa gráfico y evitar así la necesidad de utilizar OpenSSL en la terminal.

El mejor programa para este objetivo es la aplicación opensource XCA. En este programa intuitivo puede usted gestionar todos los certificados y claves. La mayor ventaja es un emparejamiento de las claves correspondientes; así pues usted no tiene que averiguar qué clave privada le corresponde a cada uno de los certificados. La importación de las claves es fácil y la exportación la puede realizar a todos los formatos conocidos.

program XCA pro správu šifrovacích klíčů

(In)seguridad del archivo PFX

El archivo PFX está siempre protegido con una contraseña puesto que contiene la clave privada. Al crear PFX, elija la contraseña responsablemente ya que puede protegerle incluso de un uso indebido del certificado. Al atacante seguramente le gustaría mucho si la contraseña para el archivo PFX robado fuera "12345": tanto antes podría empezar a utilizar el certificado.

Con el certificado Code signing, el atacante puede firmar cualquier archivo en nombre de su empresa. Por lo tanto es importante proteger el archivo PFX u optar por el certificado Code Signing EV. El certificado Code Signing EV está guardado en el token y si es robado queda prácticamente descartado su uso indebido; después de que se introduzca varias veces una contraseña incorrecta el token será bloqueado.

En caso de necesidad no dude en contactar con nuestra Atención al cliente, que le ayudará a elegir el certificado y a resolver cualquier duda.