Si disponemos de un certificado en entornos Windows y queremos utilizar un certificado en otro tipo de dispositivos, por ejemplo un wilcard (*.midominio.com) podemos desglosar en dos partes utilizando OpenSSL:
openssl pkcs12 -in certificadoCompleto.pfx -nocerts -out llaveSegura.key
De este modo tenemos en un archivo la parte correspondiente a la clave privada de forma encriptada (BEGIN ENCRYPTED PRIVATE KEY). Por otro lado tenemos el certificado firmado:
openssl pkcs12 -in certificadoCompleto.pfx -clcerts -nokeys -out certificado.crt
Si necesitamos las claves sin encriptar (BEGIN RSA PRIVATE KEY), cuidado donde guardar este tipo de ficheros, podemos hacerlo mediante:
openssl rsa -in llaveSegura.key -out llaveNoSegura.key
Con estas 2+1 partes podremos instalar el certificado, por ejemplo en PLESK:
O un certificado personalizado en Nginx Proxy Manager:
NOTA: A la hora de importar, puede que el fichero generado contenga cabeceras que algunos programas no descartan, por ejemplo strongSwan. Es necesario eliminar la parte inicial hasta la línea que empieza el certificado
Bag Attributes
friendlyName:
localKeyID: XX AA C6 59 0B 10 2F E9 42 A9 00 11 22 33 44 D2 1D CC DD EE
subject=/CN=sub.midominio.com
issuer=/CN=sub.midomino.com
ZYXEL: si contiene certificados intermedios, o el formato no es pkcs12 es más sencillo convertirlo:
openssl pkcs12 -export -inkey llaveSegura.key -in certificado.crt -out certificadoZYXEL.pfx
