Solución:
PKCS # 7 no incluye la parte privada (clave) de un par de certificado / clave privada, se usa comúnmente para la difusión de certificados (por ejemplo, como respuesta a una solicitud de certificado PKCS # 10, como un medio para distribuir certificados S / MIME utilizado para cifrar mensajes o validar mensajes firmados, etc.). Es importante recordar que es solo para certificados que, por definición, son elementos públicos.
PKCS # 12 es un contenedor más universal: está destinado a almacenar las partes de la clave privada y del certificado público juntas para que se puedan mover. Tiene la capacidad de estar protegido con contraseña para brindar cierta protección a las claves.
PFX fue el predecesor de PKCS # 12.
No puede (como señala Anitak) convertir de PKCS # 7 a PKCS # 12 sin datos adicionales (la parte de la clave privada) porque PKCS # 7 no tiene todos los datos.
Mark Sutton ha señalado por qué no puede exportar como PFX: el certificado en cuestión tiene su clave privada marcada como no exportable. El proveedor de servicios criptográficos (CSP) no permitirá que esa clave se mueva, esto es intencional. La única * forma de obtener un par certificado clave exportable es si el Certificado original se emitió con el conjunto de indicadores exportables. También es posible que no haya una clave privada asociada con el certificado, pero supongo que ese no es el caso aquí.
Hay un buen resumen de los distintos tipos de PKCS en Wikipedia.
- La única forma legítima al menos. Dependiendo del CSP Crypto Hardware, puede haber mecanismos, especialmente para software solo CSP, pero esa es un área para la investigación de vulnerabilidades de seguridad solo en lo que a mí respecta, no para la administración de sistemas.
Paso por esto cada 2 años (cuando renuevo un certificado de firma de código) y es una molestia cada vez.
Una información clave es que simplemente puede cambiar el nombre de los archivos .p7b a .spc (como se indica aquí: http://support.microsoft.com/kb/269395).
A continuación, puede utilizar la herramienta pvk2pfx.exe para convertir su PVK + SPC en un PFX.
pvk2pfx.exe -pvk input.pvk -pi <existing_input.pvk_password> -spc input.spc -pfx output.pfx -po <new_output.pfx_password>
(es posible que pueda omitir el paso de cambio de nombre de p7b y usarlo directamente; no lo he intentado …)
Con la herramienta de Windows, si la opción pfx está deshabilitada, significa que la clave privada no se puede exportar desde la tienda local. Esto se debe a que no está allí (porque las claves no se generaron en el cuadro que está usando) o porque cuando generó las claves, la clave privada no se marcó como exportable y la plantilla de certificado de Windows no se configuró para permitir la exportación.
Supongo que está utilizando una autoridad de certificación de Microsoft para emitir sus certificados. ¿Es esto correcto?
Si es así, entonces: –
1.Asegúrese de que la plantilla de certificado permita la exportación de claves privadas.
2.Cómo está generando su solicitud de certificado, puede utilizar la siguiente técnica
CREAR archivo INF de la siguiente manera
[Version]
Firma = “$ Windows NT $
[NewRequest]
Asunto = “etc”
KeySpec = 1
Exportable = 1
MachineKeySet = TRUE
ProviderName = “CSPName”
ProviderType = 1
[RequestAttributes]
CertificateTemplate =
NOTA el Exportable = 1
Luego use los comandos que fluyen en el símbolo del sistema
certreq -new infile.inf reqfile.req // donde infile.inf es el archivo anterior y reqfile es el archivo de solicitud de salida
certreq -submit -config reqfile.req // Envía la solicitud de certificado a la CA
Una vez que esto esté completo, podrá exportar el certificado como pfx
Alternativamente, vaya a http://www.blacktipconsulting.com/Site/Products.html donde puse mi herramienta de línea de comandos gratuita que hace todo esto por usted y exporta el certificado como pfx una vez terminado