En este artículo les mostraré los comandos que necesita para convertir su archivo de certificado .PFX en un certificado separado y un archivo de claves. Este artículo puede ser útil cuando necesite importar sus certificados en dispositivos como enrutadores Cisco / Load Balancers etc., donde probablemente necesite importar los certificados y archivos de claves en texto plano (sin cifrar). La herramienta de elección (pero puede haber otras) es OpenSSL para Windows, que se puede descargar aquí.

• OpenSSL instalado: inícielo desde su carpeta Bin.
• Inicie el command prompt y cd a la carpeta que contiene su archivo .pfx.
• Primero escriba el primer comando para extraer la clave privada:

openssl pkcs12 -in [yourfile.pfx] -nocerts -out [keyfile-encrypted.key]
Lo que hace este comando es extraer la clave privada del archivo .pfx. Una vez ingresado, debe escribir la contraseña de importación del archivo .pfx. Esta es la contraseña que usó para proteger su keypair cuando creó su archivo .pfx. Si ya no puede recordarlo, simplemente puede tirar su archivo .pfx, ¡porque no podrá importarlo de nuevo, en cualquier lugar! Una vez que ingresó la contraseña de importación, OpenSSL le solicita que ingrese otra contraseña dos veces. Esta nueva contraseña protegerá su archivo .key.

• Extrae el certificado:

openssl pkcs12 -in [yourfile.pfx] -clcerts -nokeys -out [certificate.crt]
Simplemente presione Intro y aparecerá su certificado.

• Ahora, como mencioné en la introducción de este artículo, a veces es necesario tener un archivo .key sin cifrar para importar en algunos dispositivos. Probablemente no necesite mencionar que debes tener cuidado. Si almacena su keypair sin cifrar en algún lugar en una ubicación insegura, cualquiera puede probarlo y suplantar, por ejemplo, un sitio web o una persona de su empresa. ¡Así que siempre tenga mucho cuidado cuando se trata de claves privadas!

El comando:

openssl rsa -in [keyfile-encrypted.key] -out [keyfile-decrypted.key]
Nuevamente, debe ingresar una contraseña de importación. Esta vez debe ingresar la nueva contraseña que creó en el paso 1. Después de eso, habrá terminado. Descifró su clave privada. En la carpeta donde ejecutó OpenSSL encontrará el certificado (.crt) y las dos claves privadas (cifradas y sin cifrar).

En algunos casos, puede verse obligado a convertir su clave privada al formato PEM. Puede hacerlo con el siguiente comando:

openssl rsa -in [keyfile-encrypted.key] -outform PEM -out [keyfile-encrypted-pem.key]