Creación de un archivo PFX
Un archivo con la extensión PFX indica un certificado en el formato PKCS#12; en él está guardado el certificado, el certificado Intermediate de la autoridad necesario para una credibilidad del certificado y la clave privada para el certificado. Puede imaginárselo como un archivo en el que está guardado todo lo que necesita para instalar el certificado.
La clave privada la puede crear en nuestra web junto con CSR pero sólo usted puede guardarla (para la posterior instalación del certificado).
¿Cuándo necesitamos crear un PFX? Se trata sobre todo de las siguientes situaciones:
- Instalaremos el certificado en Windows Server (IIS) pero CSR request no fue creado en ISS.
- Se necesita el certificado para Windows Server pero no disponemos de IIS para generar CSR.
- Hemos creado CSR en SSLmarket y hemos guardado la clave privada. Ahora es necesario instalar el certificado en Windows Server.
En SSLmarket proporcionamos una instrucción para estas (y otras) situaciones.
Creación de PFX mediante OpenSSL
OpenSSL es una biblioteca (programa) disponible en cada sistema operativo unix. Si dispone de un servidor Linux o trabaja en Linux seguramente encontrará OpenSSL entre los programas disponibles.
En OpenSSL es necesario juntar las llaves guardadas por separado en un solo archivo PFX (PKCS#12). Este procedimiento se realiza mediante el comando:
openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx
Después de indicar la contraseña que protegerá el certificado, se creará en el directorio (en que se encuentra), el archivo vystup.pfx (el nombre del archivo se elige en el comando anteriormente mencionado).
Creación de PFX en Windows (Servidor con IIS)
Creación de PFX del certificado existente
Del sistema operativo Windows es posible exportar el certificado existente del depósito de certificados como un archivo PFX mediante la cónsola MMC. Puede optar por este procedimiento también en el servidor Windows si IIS se guarda en el depósito de certificados.
El servidor web IIS permite una exportación del certificado existente directamente del resumen de los certificados en el servidor. La clave privada y CSR serán creados durante la solicitud CSR en IIS y después de la emisión, el certificado vuelve a ser importado (encontrará los dos pasos en una videoguía)).
.La exportación es muy fácil: haga clic en el certificado correspondiente mediante el botón derecho y elija Exportar. Después de que elegir la contraseña que protegerá el archivo PFX, el certificado se guardará en el disco.
Importación de un certificado nuevo y creación de PFX
Desgraciadamente, no es posible realizar este procedimiento. El depósito de certificados Windows no permite importar la clave privada del archivo y por lo tanto, en la cónsola MMC no es posible juntar las claves a PFX como en OpenSSL. En el servidor web IIS se puede importar solamente PFX, así pues es el mismo caso que el anterior.
Si necesitamos importar en el Servidor Windows un certificado nuevo y no hay una clave privada en el servidor (no haya creado CSR request en el servidor) puede seguir los siguientes pasos:
- Crear PFX en otro sitio (OpenSSL u otra forma) y después importar el certificado mediante PFX.
- Crear una nueva solicitud en el servidor (CSR request) y realizar la llamada reissue del certificado.
Creación de PFX mediante una aplicación de terceros
Podemos crear el archivo PFX de las claves independientes en un programa gráfico y evitar así la necesidad de utilizar OpenSSL en la terminal.
El mejor programa para este objetivo es la aplicación opensource XCA. En este intuitivo programa puede gestionar todos los certificados y claves. La mayor ventaja es un emparejamiento de las claves correspondientes; así pues no es necesario averiguar qué clave privada le corresponde a cada uno de los certificados. La importación de las claves es fácil y la exportación se puede realizar a todos los formatos conocidos.
(In)seguridad del archivo PFX
El archivo PFX está siempre protegido con una contraseña puesto que contiene la clave privada. Al crear PFX, elije la contraseña responsablemente ya que puede protegerte incluso de un uso indebido del certificado. Al atacante seguramente le gustaría mucho si la contraseña para el archivo PFX robado fuera "12345": tanto antes podría empezar a utilizar el certificado.
El principal motivo de la transición de todos los certificados Code Signing al token fue la falta de seguridad de la guarda del certificado Code Signing en el archivo PFX. El certificado Code Signing OV y EV tiene que guardarse en un token y su abuso en el caso de robo queda prácticamente excluido; El token se bloquea tras introducir una contraseña incorrecta varias veces.
En caso de necesidad no dude en contactar con nuestra Atención al cliente que le ayudará a elegir el certificado y a resolver cualquier duda.
Lo sentimos que no haya encontrado lo necesario aquí.
Ayúdanos mejorar el artículo, por favor. Escríbenos lo que esperaba aquí y no encontró.