TEORÍA

El certificado en formato PKCS#12 es un certificado que incluye certificado(s) y clave privada(s) (encriptadas por una contraseña elegida por el usuario).

Crear un certificado de este tipo consiste en empaquetarlo todo en un solo fichero de extensión .pfx ó .p12.

PRÁCTICA

Con OpenSSL podemos empaquetar el certificado (PEM/DER) y la clave privada (.key) en un solo fichero de certificado PKCS#12 con el siguiente comando (nótese que hay saltos de línea para hacer el comando más legible, pero a la hora de escribirlo no debe tener saltos de línea):

pkcs12 
  -export 
  -out <CERTIFICADO_RESULTADO>.pfx 
  -inkey <CLAVE_PRIVADA>.key 
  -in <CERTIFICADO_ENTRADA>.crt 
  -certfile <CERTIFICADO_ENTRADA2>.crt

Podemos empaquetar más de un certificado como se puede observar, es opcional.

-out: path + nombre del certificado PKCS#12 resultado. La extensión puede ser pfx o p12.

-inkey: clave privada.

-in: certificado a empaquetar tipo PEM/DER.

-certfile: otro certificado a empaquetar.

Si la clave y/o el certificado están en un archivo de texto con la llamada «armadura» de inicio y fin como la que se muestra a continuación:

Certificado

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Clave privada

-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----

Significa que tenemos el certificado y la clave en formato PEM. En este caso no hay más que apuntar a estos archivos de texto como se indica en el comando anterior (solo que en este caso acabarán en «.txt»).