DIFERENCIAS CLAVE entre .PFX, .KEY y .CER

 

DIFERENCIAS CLAVE entre .PFX, .KEY y .CER

1. .PFX (Personal Information Exchange) / .P12

  • Contiene: ✅ CLAVE PRIVADA + CERTIFICADO PÚBLICO juntos

  • Formato: Contenedor/archivo único que incluye todo

  • Contraseña: Está protegido por contraseña

  • Uso típico: Instalación en navegadores, Outlook, aplicaciones que necesitan ambos componentes

  • Ventaja: Todo en un solo archivo, fácil de transportar/instalar

2. .KEY (Clave Privada)

  • Contiene: ❌ SOLO la CLAVE PRIVADA

  • Formato: Archivo de texto (PEM) o binario

  • Sin certificado público: No contiene información de identidad

  • Uso típico: Servidores web, SSH, configuraciones avanzadas

  • Precaución: Muy sensible, debe protegerse extremadamente

3. .CER o .CRT (Certificado Público)

  • Contiene: ✅ SOLO el CERTIFICADO PÚBLICO

  • Formato: Archivo de texto (PEM) o binario (DER)

  • Sin clave privada: Solo para verificación, no para firmar

  • Uso típico: Compartir con otros para que verifiquen tus firmas

  • Seguridad: Puede compartirse libremente (no es secreto)

📊 COMPARACIÓN VISUAL

FormatoContiene Clave PrivadaContiene Certificado PúblicoEstá ProtegidoUso Común
.PFX/.P12✅ ✅ ✅ Con contraseñaOutlook, Navegadores
.KEY✅ ❌ NO⚠️ A vecesServidores, SSH
.CER/.CRT❌ NO✅ ❌ NOVerificación, Compartir

🎯 ¿POR QUÉ el CJF usa .PFX?

Razones prácticas:

  1. Facilidad de instalación: Un solo archivo para instalar

  2. Seguridad: La clave privada va protegida por contraseña

  3. Compatibilidad: Funciona en Windows, Outlook, navegadores sin configuraciones complejas

  4. Para usuarios finales: Más simple que manejar archivos separados

🔄 CÓMO se relacionan estos archivos

Cuando generas un certificado:

text
[Generación]
Clave Privada (.key) + Solicitud → Autoridad Certificadora → Certificado (.cer)

[Empaquetado para usuario]
Clave Privada (.key) + Certificado (.cer) → Archivo .PFX (protegido con contraseña)

Equivalencia práctica:

  • Tener un .PFX = Tener un .KEY + .CER empaquetados juntos

  • Del .PFX puedes extraer el .CER para compartirlo

  • Pero del .CER NO puedes obtener la clave privada

💡 EJEMPLOS PRÁCTICOS

Escenario 1: Firmar un PDF con Adobe

  • Usas: .PFX (porque necesita tu clave privada para firmar)

  • Adobe extrae: La clave privada del PFX (con tu contraseña) para firmar

Escenario 2: Verificar una firma que recibiste

  • Usas: .CER de la otra persona (solo necesitas su certificado público)

  • NO necesitas: Su clave privada (eso sería inseguro)

Escenario 3: Configurar un servidor web HTTPS

  • Usas: .KEY (clave privada) + .CER (certificado) por separado

  • Más control: Para configuraciones avanzadas de servidor

🛡️ SEGURIDAD: ¿Qué proteger y qué compartir?

COMPARTIR LIBREMENTE (No son secretos):

  • .CER (certificado público)

  • .CRT (certificado público)

PROTEGER EXTREMADAMENTE (Son secretos):

  • .PFX (contiene clave privada)

  • .KEY (clave privada)

  • .P12 (equivalente a PFX)

🔧 CONVERSIÓN entre formatos

Si tienes .KEY + .CER y necesitas .PFX:

bash
openssl pkcs12 -export -out certificado.pfx -inkey clave.key -in certificado.cer

Si tienes .PFX y necesitas .KEY + .CER:

bash
# Extraer clave privada
openssl pkcs12 -in certificado.pfx -nocerts -out clave.key

# Extraer certificado
openssl pkcs12 -in certificado.pfx -clcerts -nokeys -out certificado.cer

❓ ¿Por qué tú tienes .KEY y .CER separados?

Probablemente porque:

  • Trabajas con servidores o sistemas Linux/Unix

  • Usas herramientas de línea de comandos (OpenSSL)

  • Tienes un control más granular sobre los componentes

  • El CJF te los proporcionó separados para flexibilidad

🎯 EN RESUMEN:

Si necesitas...Usa...
Instalar en Outlook/Windows.PFX
Configurar un servidor web.KEY + .CER
Compartir tu identidad.CER
Firmar documentos.PFX o .KEY
Verificar firmas de otros.CER de ellos

El .PFX es el formato "todo en uno" para usuarios finales, mientras que .KEY y .CER separados son para configuraciones más técnicas y de servidor.

Comentarios

Publicar un comentario

Entradas más populares de este blog

firma digitales PKI utilizando solo javascript y node,

Puedes hacerme una aplicacion de firma digitales PKI utilizando solo javascript y node,   Crear una aplicación de firma digital basada en Infraestructura de Clave Pública (PKI) utilizando JavaScript y Node.js implica varios pasos importantes. A continuación, te proporcionaré una guía básica para implementar una solución simple de firma digital utilizando Node.js. Esta aplicación incluirá la generación de claves, la creación de una firma digital y la verificación de dicha firma. Requisitos Previos Node.js instalado en tu máquina. Familiaridad básica con JavaScript y Node.js. Paquete crypto de Node.js para operaciones criptográficas. Paso 1: Configuración del Proyecto Crea un nuevo directorio para tu proyecto y navega a él: mkdir digital-signature-app cd digital-signature-app Inicializa un nuevo proyecto de Node.js: npm init -y Instala las dependencias necesarias: Aunque el paquete crypto es parte de Node.js, necesitaremos algunas utilidades adicionales para manejar archivos ...
Leer más

convertir un certificado .key a formato PEM utilizando solo la Web Crypto API

 es posible convertir un certificado .key a formato PEM utilizando solo la Web Crypto API, sin la necesidad de utilizar una biblioteca adicional como Forge. Aquí te dejo un ejemplo completo de cómo hacerlo: html Copiar Editar <!DOCTYPE html > < html > < head > < title >Convertir certificado .key a formato PEM </ title > < meta charset = "utf-8" > </ head > < body > < h1 >Convertir certificado .key a formato PEM </ h1 > < input type = "file" id = "fileInput" > < br > < textarea id = "output" rows = "10" cols = "80" > </ textarea > < script > const fileInput = document . querySelector ( '#fileInput' ); const outputTextarea = document . querySelector ( '#output' ); fileInput. addEventListener ( 'change' , () => { const file = fileInput. files [ 0 ]; const reader = n...
Leer más

Pilares de la firma electronica-pki-RSA

pilares de la firma electronica 1. Autenticidad (o Identificación del Firmante) Este pilar asegura que se puede identificar de manera inequívoca a la persona que realiza la firma. ¿Cómo se logra?  Generalmente mediante la vinculación del acto de firma con un certificado digital emitido por un Prestador de Servicios de Confianza Cualificado (PSCCo). Este certificado acredita la identidad del firmante tras un proceso de verificación presencial o equivalente. Objetivo:  Responder a la pregunta:  "¿Quién firmó el documento?" . Impide que alguien pueda suplantar la identidad del firmante. 2. Integridad Garantiza que el documento firmado no ha sido alterado o modificado de ninguna manera después del momento de la firma. ¿Cómo se logra?  A través de algoritmos criptográficos (como el Hash o resumen digital). Cuando se firma un documento, se genera un "resumen único" del mismo. Cualquier cambio mínimo en el documento original resultaría en un resumen completamente diferente...
Leer más