soporte / ssl

Como generar archivo .pfx para instalar su certificado TLS/SSL

¿Qué es un archivo .pfx?

Un archivo .pfx (PKCS#12) es un contenedor binario que incluye certificado del dominio, clave privada e intermedios en un solo archivo protegido por contraseña. Es el formato requerido por servidores como IIS o sistemas Windows.


Antes de comenzar:

Verifique cuáles son los certificados intermedios correctos según su tipo de certificado.
No utilice los certificados intermedios que aparecen en las propiedades del .crt, ya que pueden no coincidir con la cadena correcta a instalar en el servidor.

Para generar el .pfx necesitará:

  • Certificado de dominio: su_dominio.crt
  • Clave privada: su_clave.key
  • Intermedio(s) correctos: intermedio.crt

  1. Ubique todos los archivos necesarios:

    • Certificado: su_dominio.crt
    • Clave privada: su_clave.key
    • Intermedio(s): intermedio.crt

  2. Ejecute el siguiente comando: 
    openssl pkcs12 -export -out su_dominio.pfx -inkey su_clave.key -in su_dominio.crt -certfile intermedio.crt

  3. Ingrese una contraseña para proteger el archivo .pfx.
Importante: el archivo especificado en -certfile debe contener únicamente los intermedios correctos en el orden adecuado.
No utilice la raíz ni confíe en la cadena automática del sistema operativo.

  1. Cree un archivo que contenga los intermedios correctos en orden: 
    -----BEGIN CERTIFICATE-----
... (Intermedio 1) ...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
... (Intermedio 2) ...
-----END CERTIFICATE-----

  2. Guarde ese archivo como chain.pem.

  3. Genere el .pfx: 
    openssl pkcs12 -export -out su_dominio.pfx -inkey su_clave.key -in su_dominio.crt -certfile chain.pem
Error común: incluir certificados incorrectos o en desorden genera problemas de confianza en el servidor, aunque el .pfx se genere correctamente.

  • El .pfx siempre debe generarse con la misma clave privada utilizada en el CSR.
  • No es obligatorio incluir la raíz (generalmente no se recomienda).
  • El orden correcto es: Certificado de dominio → Intermedios.
  • Si los intermedios son incorrectos, el servidor puede quedar con cadena incompleta o inválida.
  • El archivo resultante está protegido por contraseña: sin ella, no sirve de nada.

Aquí podrá encontrar el nombre de cada .crt a incluir en su .pfx de acuerdo a su tipo de certificado:

Certificados EV
  • RSA:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthentication CAEVR36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootR46_USERTrust.crt
  • Raíz: USERTrustRSACertificationAuthority.crt
  • ECC:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthentication CAEVE36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootE46_USERTrust.crt
  • Raíz: USERTrustECCCertificationAuthority.crt
Certificados OV
  • RSA:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthentication CAOVR36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootR46_USERTrust.crt
  • Raíz: USERTrustRSACertificationAuthority.crt
  • ECC:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthenticationCAOVE36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootE46_USERTrust.crt
  • Raíz: USERTrustECCCertificationAuthority.crt
Certificados DV
  • RSA:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthenticationCADVR36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootR46_USERTrust.crt
  • Raíz: USERTrustRSACertificationAuthority.crt
  • ECC:
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoPublicServerAuthenticationCADVE36.crt
  • Intermedio 2: SectigoPublicServerAuthenticationRootE46_USERTrust.crt
  • Raíz: USERTrustECCCertificationAuthority.crt
Para certificados emitidos con la raíz anterior (desde Mayo 2020 hasta Abril 2025) estos serán los nombres de los .crt y el orden a pegar en su .pem
Certificados EV
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoRSAExtendedValidationSecureServerCA.crt
  • Intermedio 2: USERTrustRSA-AAACA-xSign.crt
  • Raíz: AAACertificateServices.crt
Certificados OV
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoRSAOrganizationValidationSecureServerCA.crt
  • Intermedio 2: USERTrustRSA-AAACA-xSign.crt
  • Raíz: AAACertificateServices.crt
Certificados DV
  • Su certificado: Certificado de Dominio
  • Intermedio 1: SectigoRSADomainValidationSecureServerCA.crt
  • Intermedio 2: USERTrustRSA-AAACA-xSign.crt
  • Raíz: AAACertificateServices.crt