Certificados digitales

Los certificados digitales permiten identificar con seguridad usuarios, dispositivos y servicios en redes y sistemas. Se utilizan para firmar correos, autenticarse en sitios y aplicaciones, y cifrar comunicaciones. Configurarlos correctamente evita suplantaciones, pérdida de integridad de datos y accesos no autorizados.

Requisitos básicos antes de comenzar
• Contar con el certificado digital emitido por una Autoridad de Certificación (CA) confiable.
• La clave privada asociada al certificado (generalmente en un archivo.pfx/.p12 o.key/.crt).
• Acceso de administrador en el equipo.

Configurar certificados en Windows (10 y 11)

1. Importar certificados personales

Abre el Administrador de certificados:
Presiona Windows + R, escribe certmgr.msc y pulsa Enter.
En la ventana de “Certificados – Usuario actual”, selecciona Personal → Certificados.
Clic derecho en el panel derecho → Todas las tareas → Importar.
Se abre el Asistente para importación de certificados:
• Elige el archivo.pfx/.p12 que contiene certificado + clave privada.
• Introduce la contraseña si corresponde.
• Marca Marcar esta clave como exportable si prevés volver a exportarla.
• Selecciona automáticamente la ubicación Colocar todos los certificados en el siguiente almacén → Personal.
Finaliza y verifica que aparezca en la lista.

2. Importar certificados de autoridad (CA)

En certmgr.msc, expande Entidades de certificación raíz de confianza → Certificados.
Clic derecho → Todas las tareas → Importar.
Elige el archivo.cer/.crt de la CA y finaliza.

Exportar un certificado en Windows

1. Exportar un certificado desde el Administrador de Certificados

Abrir el Administrador de Certificados:
- Usa certmgr.msc para certificados de usuario o certlm.msc para certificados de computadora.
Seleccionar el certificado:
- En el panel izquierdo, navega hasta la carpeta que contiene el certificado que deseas exportar.
- Haz clic derecho en el certificado y selecciona Todas las tareas > Exportar.
Sigue el asistente de exportación:
- Elige si deseas exportar la clave privada (si está disponible y es necesario).
- Selecciona el formato de archivo (por ejemplo, .PFX si incluye la clave privada o .CER si no).
- Asigna una contraseña si el formato lo requiere.
- Guarda el archivo en la ubicación deseada.

2. Exportar un certificado desde el navegador

Si el certificado está instalado en un navegador como Chrome o Edge, puedes exportarlo desde la configuración de certificados del navegador.

Formatos comunes de certificados

.cer o .crt: Certificados sin clave privada.
.pfx o .p12: Certificados que incluyen la clave privada, protegidos con contraseña.

Consejos de seguridad

Protege tus certificados: Guarda los archivos de certificados en un lugar seguro y usa contraseñas fuertes si exportas claves privadas.
No compartas claves privadas: Las claves privadas deben mantenerse confidenciales para evitar el acceso no autorizado.
Verifica la autenticidad: Asegúrate de que los certificados importados provengan de fuentes confiables.

Configurar certificados en macOS

1. Abrir Acceso a Llaveros (Keychain Access)

Usa Spotlight (Cmd + Barra espaciadora) y escribe Acceso a Llaveros.
En la barra lateral izquierda, selecciona login o Sistema según la finalidad.

2. Importar certificados

Menu Archivo → Importar elementos…
Selecciona el certificado (.p12/.pfx si incluye clave privada o.cer/.crt si solo es público).
Si es un.p12, introduce la contraseña de la clave privada.
El certificado se guarda en el llavero seleccionado.

3. Confiar en una CA

En Keychain, ubica el certificado de la autoridad.
Doble clic → Confiar → en “Al usar este certificado”, selecciona Siempre confiar.

Cómo exportar un certificado en macOS

Exportar certificados en macOS es un proceso sencillo que puedes realizar utilizando la aplicación Acceso a Llaveros (Keychain Access). Esta herramienta te permite gestionar certificados, claves privadas y contraseñas de manera segura. A continuación, te explico cómo exportar un certificado en macOS.

Pasos para exportar un certificado en macOS

1. Abrir la aplicación Acceso a Llaveros

Ve a la carpeta Aplicaciones > Utilidades y abre Acceso a Llaveros.
También puedes buscarla usando Spotlight (presiona Cmd + Espacio y escribe «Acceso a Llaveros»).

2. Localizar el certificado

En la ventana de Acceso a Llaveros, selecciona la categoría «Mis certificados» o «Certificados» en el panel izquierdo.
Busca el certificado que deseas exportar en la lista central.

3. Exportar el certificado

Selecciona el certificado que deseas exportar.
Haz clic derecho sobre él y elige la opción «Exportar».
Se abrirá una ventana para que elijas la ubicación donde deseas guardar el archivo.
Selecciona el formato del archivo:
- .cer o .crt: Si solo necesitas exportar el certificado público.
- .p12 o .pfx: Si necesitas exportar el certificado junto con su clave privada (este formato suele requerir una contraseña).
Si seleccionas el formato .p12 o .pfx, se te pedirá que establezcas una contraseña para proteger el archivo.
Haz clic en «Guardar» para completar el proceso.

Formatos comunes de certificados

.cer o .crt: Certificados públicos sin clave privada.
.p12 o .pfx: Certificados que incluyen la clave privada, protegidos con contraseña.

Consejos de seguridad

Protege tus certificados: Guarda los archivos exportados en un lugar seguro y utiliza contraseñas fuertes si exportas claves privadas.
No compartas claves privadas: Las claves privadas deben mantenerse confidenciales para evitar el acceso no autorizado.
Verifica la autenticidad: Asegúrate de que los certificados provengan de fuentes confiables antes de importarlos o usarlos.

Enlaces oficiales

Apple – Administrar certificados con Acceso a Llaveros:
https://support.apple.com/guide/keychain-access/welcome/mac

Configurar certificados en Linux

El proceso depende de la distribución y el uso: certificados del sistema para navegadores o para servicios como Apache/Nginx.

1. Certificados para navegadores (Ubuntu / Debian)

Copia el certificado de CA a:
/usr/local/share/ca-certificates/
Ejecuta:sudo update-ca-certificates
El sistema añadirá la CA al almacén confiable.

2. Certificados para Apache

Copia tu certificado y clave privada en un directorio seguro, por ejemplo:
/etc/ssl/certs/ y /etc/ssl/private/
Modifica el archivo de configuración de tu sitio (.conf):SSLEngine on SSLCertificateFile /etc/ssl/certs/tu_certificado.crt SSLCertificateKeyFile /etc/ssl/private/tu_clave.key SSLCertificateChainFile /etc/ssl/certs/ca_intermedia.crt
Reinicia Apache:sudo systemctl restart apache2

3. Certificados para Nginx

Junta tu certificado con la cadena de CA en un solo archivo (cert + intermediarios).
Actualiza la configuración:ssl_certificate /etc/ssl/certs/tu_cert_chain.pem; ssl_certificate_key /etc/ssl/private/tu_clave.key;
Reinicia Nginx:sudo systemctl restart nginx

Cómo exportar un certificado en Linux

Exportar certificados en Linux puede realizarse de varias formas, dependiendo del formato del certificado y de las herramientas disponibles en tu distribución. A continuación, te explico los métodos más comunes para exportar certificados en Linux, ya sea desde archivos existentes o desde el almacén de certificados del sistema.

1. Exportar un certificado desde un archivo `.pem` o `.crt`

Si ya tienes un certificado en formato .pem o .crt, puedes copiarlo directamente a otro archivo o convertirlo a otro formato si es necesario.

Copiar un certificado

bashCopiarcp certificado.pem /ruta/de/destino/certificado_copia.pem

Convertir un certificado `.pem` a `.der` (formato binario)

bashCopiaropenssl x509 -in certificado.pem -outform der -out certificado.der

2. Exportar un certificado desde un archivo `.pfx` o `.p12`

Los archivos .pfx o .p12 contienen tanto el certificado como la clave privada. Para exportar el certificado público o la clave privada por separado, puedes usar el siguiente comando:

Exportar el certificado público desde un `.pfx` o `.p12`

bashCopiaropenssl pkcs12 -in certificado.pfx -clcerts -nokeys -out certificado_publico.pem

Se te pedirá la contraseña del archivo .pfx o .p12.

Exportar la clave privada desde un `.pfx` o `.p12`

bashCopiaropenssl pkcs12 -in certificado.pfx -nocerts -nodes -out clave_privada.pem

El parámetro -nodes evita que la clave privada se cifre con una contraseña en el archivo de salida.

3. Exportar un certificado desde el almacén de certificados del sistema

En Linux, los certificados del sistema suelen almacenarse en /etc/ssl/certs/ o /usr/share/ca-certificates/. Para exportar un certificado desde esta ubicación, simplemente copia el archivo a la ubicación deseada:

bashCopiarsudo cp /etc/ssl/certs/nombre_certificado.pem /ruta/de/destino/

4. Exportar un certificado y clave privada desde un servidor web (Apache/Nginx)

Si el certificado está configurado en un servidor web como Apache o Nginx, puedes exportarlo desde los archivos de configuración.

Ejemplo para Apache

Los certificados suelen estar en:

/etc/apache2/ssl/certificado.crt
/etc/apache2/ssl/clave_privada.key

Puedes copiarlos a otra ubicación:

bashCopiarsudo cp /etc/apache2/ssl/certificado.crt /ruta/de/destino/
sudo cp /etc/apache2/ssl/clave_privada.key /ruta/de/destino/

Ejemplo para Nginx

Los certificados suelen estar en:

/etc/nginx/ssl/certificado.crt
/etc/nginx/ssl/clave_privada.key

Puedes copiarlos de manera similar:

bashCopiarsudo cp /etc/nginx/ssl/certificado.crt /ruta/de/destino/
sudo cp /etc/nginx/ssl/clave_privada.key /ruta/de/destino/

Formatos comunes de certificados

.pem: Formato de texto que puede contener el certificado público, la clave privada o ambos.
.crt o .cer: Certificados públicos en formato binario o texto.
.der: Formato binario de certificado público.
.pfx o .p12: Archivo que contiene tanto el certificado como la clave privada, protegido con contraseña.

Consejos de seguridad

Protege tus certificados: Guarda los archivos exportados en un lugar seguro y utiliza contraseñas fuertes si exportas claves privadas.
No compartas claves privadas: Las claves privadas deben mantenerse confidenciales para evitar el acceso no autorizado.
Verifica la autenticidad: Asegúrate de que los certificados provengan de fuentes confiables antes de importarlos o usarlos.

Enlaces oficiales (Linux)

Ubuntu – CA certificates:
https://ubuntu.com/server/docs/security-certificate-authority
Apache SSL/TLS how-to:
https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
Nginx SSL docs:
https://nginx.org/en/docs/http/configuring_https_servers.html

Configurar certificados en Android

Copia el archivo.crt/.cer al dispositivo.
En Ajustes → Seguridad → Instalar desde almacenamiento.
Selecciona el certificado y asígnale un nombre.
Elige su uso: VPN y aplicaciones o Wi-Fi.

En dispositivos recientes, Android puede requerir PIN/contraseña.

Cómo exportar certificados en Android

Exportar certificados en Android puede ser útil si necesitas respaldarlos, transferirlos a otro dispositivo o utilizarlos en aplicaciones específicas. Sin embargo, Android no ofrece una forma directa de exportar certificados desde la configuración del sistema, especialmente si son certificados instalados por el usuario o por aplicaciones. A continuación, te explico los métodos disponibles para exportar certificados en Android.

1. Exportar certificados instalados por el usuario

Usar una aplicación de gestión de certificados

Android no incluye una herramienta nativa para exportar certificados, pero puedes utilizar aplicaciones de terceros disponibles en Google Play Store, como «Certificate Manager» o «Portable Keychain». Estas aplicaciones permiten visualizar y exportar certificados instalados en el dispositivo.

Pasos generales:

Instala una aplicación de gestión de certificados desde Google Play Store.
Abre la aplicación y busca la opción para listar los certificados instalados.
Selecciona el certificado que deseas exportar.
Exporta el certificado en formato .p12, .pfx, .cer o .crt, según las opciones disponibles en la aplicación.
Guarda el archivo en una ubicación accesible, como la tarjeta SD o el almacenamiento interno.

2. Exportar certificados desde un navegador

Si el certificado está instalado en un navegador como Chrome o Firefox, puedes intentar exportarlo desde la configuración del navegador.

En Chrome para Android

Abre Chrome y ve a la página que utiliza el certificado.
Toca el icono de candado en la barra de direcciones.
Selecciona «Certificado» para ver los detalles.
Sin embargo, Chrome para Android no permite exportar certificados directamente desde la interfaz. En este caso, necesitarás usar una aplicación de terceros o acceder al certificado desde un ordenador.

3. Exportar certificados desde el almacenamiento del dispositivo

Si tienes acceso al archivo del certificado (por ejemplo, si lo descargaste o lo guardaste manualmente), puedes copiarlo directamente desde el almacenamiento del dispositivo.

Pasos:

Usa un administrador de archivos para navegar hasta la ubicación donde está guardado el certificado.
Copia el archivo (generalmente con extensión .p12, .pfx, .cer o .crt) a otra ubicación o envíalo por correo electrónico, mensajería o almacenamiento en la nube.

4. Usar ADB (Android Debug Bridge)

Si tienes conocimientos técnicos, puedes usar ADB para acceder a los certificados instalados en el dispositivo. Este método requiere que el dispositivo esté rooteado o que tengas permisos de administrador.

Pasos:

Conecta tu dispositivo Android a un ordenador y habilita la depuración USB en las opciones de desarrollador.
Abre una terminal en el ordenador y ejecuta el siguiente comando para acceder a la carpeta de certificados del sistema: bashCopiaradb shell ls /data/misc/keystore
Si encuentras los certificados, puedes copiarlos a tu ordenador usando: bashCopiaradb pull /data/misc/keystore/nombre_del_certificado /ruta/de/destino/en/el/ordenador

Formatos comunes de certificados

.p12 o .pfx: Archivos que contienen el certificado y la clave privada, protegidos con contraseña.
.cer o .crt: Certificados públicos sin clave privada.

Consejos de seguridad

Protege tus certificados: Guarda los archivos exportados en un lugar seguro y utiliza contraseñas fuertes si exportas claves privadas.
No compartas claves privadas: Las claves privadas deben mantenerse confidenciales para evitar el acceso no autorizado.
Verifica la autenticidad: Asegúrate de que los certificados provengan de fuentes confiables antes de importarlos o usarlos.

Configurar certificados en iOS / iPadOS

Envía el certificado (.p12/.cer) a tu correo o Airdrop.
Ábrelo en el dispositivo y pulsa Instalar (puede pedir código de desbloqueo).
Comprueba en Ajustes → General → Perfiles.

Cómo exportar certificados en iOS/iPadOS

Exportar certificados en iOS o iPadOS no es un proceso directo, ya que Apple no proporciona una herramienta nativa para hacerlo desde la configuración del dispositivo. Sin embargo, hay métodos alternativos que puedes utilizar para exportar certificados instalados en tu iPhone o iPad. A continuación, te explico cómo hacerlo.

1. Exportar certificados mediante correo electrónico o mensajería

Si tienes acceso al archivo del certificado (por ejemplo, si lo recibiste por correo electrónico o lo descargaste), puedes reenviarlo o guardarlo en otro dispositivo.

Pasos:

Abre la aplicación donde tienes el certificado (por ejemplo, Mail o Archivos).
Busca el archivo del certificado (generalmente con extensión .cer, .crt, .p12 o .pfx).
Comparte el archivo mediante correo electrónico, mensajería o almacenamiento en la nube (como iCloud Drive, Google Drive o Dropbox).

2. Exportar certificados desde configuraciones de VPN o Wi-Fi

Si el certificado está instalado como parte de una configuración de VPN o Wi-Fi, puedes intentar exportarlo desde la configuración del perfil.

Pasos:

Ve a Ajustes > General > VPN y gestión de dispositivos (o Perfiles en versiones anteriores).
Selecciona el perfil que contiene el certificado.
Si el perfil permite exportar el certificado, verás una opción para compartirlo o guardarlo en iCloud Drive o en otra aplicación.

3. Usar una aplicación de terceros

Existen aplicaciones en la App Store que permiten gestionar y exportar certificados en iOS/iPadOS. Algunas opciones populares incluyen «iCertMgr» o «Certificate Manager».

Pasos generales:

Descarga e instala una aplicación de gestión de certificados desde la App Store.
Abre la aplicación y busca el certificado que deseas exportar.
Selecciona la opción para exportar el certificado (generalmente en formato .p12, .pfx, .cer o .crt).
Guarda el archivo en una ubicación accesible, como iCloud Drive, o compártelo por correo electrónico o mensajería.

4. Exportar certificados mediante iTunes (en Windows o macOS)

Si tienes acceso a un ordenador con iTunes (o Finder en macOS Catalina y posteriores), puedes intentar exportar certificados desde una copia de seguridad de tu dispositivo.

Pasos:

Conecta tu iPhone o iPad al ordenador y abre iTunes (o Finder en macOS Catalina y posteriores).
Realiza una copia de seguridad cifrada de tu dispositivo.
Usa herramientas de terceros como «iMazing» o «iExplorer» para acceder a los archivos de la copia de seguridad y buscar los certificados.

5. Usar Apple Configurator 2 (para dispositivos supervisados)

Si tu dispositivo está supervisado por una organización, puedes usar Apple Configurator 2 para exportar certificados.

Pasos:

Conecta tu dispositivo a un Mac con Apple Configurator 2 instalado.
Selecciona tu dispositivo en la aplicación.
Busca la opción para exportar perfiles de configuración o certificados.
Guarda el certificado en tu Mac y luego transfiérelo a otro dispositivo si es necesario.

Formatos comunes de certificados

.p12 o .pfx: Archivos que contienen el certificado y la clave privada, protegidos con contraseña.
.cer o .crt: Certificados públicos sin clave privada.

Consejos de seguridad

Protege tus certificados: Guarda los archivos exportados en un lugar seguro y utiliza contraseñas fuertes si exportas claves privadas.
No compartas claves privadas: Las claves privadas deben mantenerse confidenciales para evitar el acceso no autorizado.
Verifica la autenticidad: Asegúrate de que los certificados provengan de fuentes confiables antes de importarlos o usarlos.

Consejos de seguridad

Manejo de claves privadas

• Mantén la clave privada protegida con contraseña.
• Nunca compartas la clave privada fuera de canales seguros.
• Si se sospecha de exposición, revoca inmediatamente el certificado.

Almacenes de certificados

• No instales certificados de fuentes no confiables.
• Solo autoridades de certificación reconocidas deben agregarse como raíz.
• Revisa periódicamente los certificados instalados y elimina los que no uses.

Renovación y revocación

• Los certificados tienen fecha de vencimiento: planifica renovaciones antes de caducar.
• Usa mecanismos de revocación como CRL (Certificate Revocation List) o OCSP.

Backups seguros

• Haz copias de tus certificados y claves en un almacenamiento encriptado.
• Guarda contraseñas en gestores de contraseñas de confianza.

Comprobación y diagnóstico

Verificar instalación

• En Windows: doble clic en el certificado para ver la ruta de certificación y expiración.
• En macOS: revisa “Confiar” y estado en Acceso a Llaveros.
• En Linux: usa openssl para inspeccionar:

openssl x509 -in tu_certificado.crt -text -noout

Validación de servicios HTTPS

Puedes usar curl o navegadores para verificar que el certificado se sirve correctamente:

curl -Iv https://tu-dominio.com

Ciberseguridad Manuales y Guías