Extractor de PFX a PEM
Abre un archivo .pfx/.p12 protegido con contraseña en tu navegador y divídelo en bloques PEM de certificado, cadena y clave privada. El archivo y su contraseña se quedan en tu dispositivo.
El archivo .pfx y su contraseña se decodifican por completo en tu navegador y nunca se suben; nada se envía a ArrayKit. Trata la clave privada extraída como un secreto y guárdala en un lugar seguro.
¿Conviertes claves SSH en su lugar? Prueba el Conversor de PPK a PEM.
Acerca de Extractor de PFX a PEM
Este extractor de PFX a PEM abre un archivo .pfx o .p12 (PKCS#12) protegido con contraseña y lo divide en los bloques PEM separados que esperan la mayoría de los servidores web y herramientas: el certificado de hoja, cualquier certificado de CA/cadena y la clave privada. Arrastra el archivo o elígelo con el diálogo de archivos, escribe su contraseña, y la herramienta lo decodifica directamente en la página. Cada bloque PEM aparece en su propio panel que puedes copiar o descargar como certificate.pem, private-key.pem y chain.pem. Úsalo para mover un paquete de certificados de Windows o IIS a nginx, Apache, HAProxy o cualquier herramienta que quiera archivos PEM en lugar de un único blob PKCS#12. Una contraseña incorrecta produce un error claro en vez de un archivo roto. El archivo .pfx y su contraseña se quedan en tu navegador y nunca se suben.
Características
- Abre archivos .pfx y .p12 (PKCS#12) protegidos con contraseña
- Divide el paquete en bloques PEM separados de certificado, cadena de CA y clave privada
- Gestiona tanto las bolsas de clave privada cifradas (pkcs8ShroudedKeyBag) como las simples
- El primer certificado se trata como la hoja; el resto se convierte en la cadena de CA
- Copia cada bloque PEM o descárgalo como certificate.pem, private-key.pem o chain.pem
- Error claro «incorrect password or not a valid PKCS#12 file» ante una contraseña incorrecta
- Acepta archivos por arrastrar y soltar o mediante el selector de archivos
- Se ejecuta por completo en tu navegador: el archivo y la contraseña nunca salen de tu dispositivo
Cómo usar Extractor de PFX a PEM
- Arrastra tu archivo .pfx o .p12 al cuadro, o haz clic para elegirlo.
- Escribe la contraseña que protege el archivo PKCS#12.
- Haz clic en Extraer PEM para decodificar el archivo en tu navegador.
- Copia cada bloque PEM, o descarga certificate.pem, private-key.pem y chain.pem.
Ejemplo
Entrada
server.pfx (PKCS#12, password: ••••••)
Salida
certificate.pem
-----BEGIN CERTIFICATE-----
MIID… (leaf certificate)
-----END CERTIFICATE-----
private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIE… (private key)
-----END RSA PRIVATE KEY-----
chain.pem
-----BEGIN CERTIFICATE-----
MIID… (intermediate CA)
-----END CERTIFICATE-----
Un único paquete .pfx dividido en archivos PEM de certificado de hoja, clave privada y cadena de CA.
Errores comunes y solución de problemas
- Ves «Incorrect password or not a valid PKCS#12 file». — Vuelve a escribir la contraseña exacta usada al crear el .pfx (distingue mayúsculas), y confirma que el archivo es realmente un PKCS#12 con extensión .pfx o .p12, no un simple .cer o .pem.
- El panel de la clave privada está vacío pero el certificado aparece. — El .pfx se exportó sin su clave privada (exportación solo de certificado). Vuelve a exportar desde el origen, eligiendo la opción de incluir la clave privada, y prueba de nuevo.
- Falta el bloque de la cadena de CA. — No todo .pfx incluye los certificados intermedios. Si tu servidor necesita la cadena completa, exporta el .pfx con «incluir todos los certificados de la ruta» activado, o descarga los intermedios desde tu CA.
- nginx o Apache rechaza el private-key.pem. — Algunas herramientas quieren un encabezado PEM específico. Si obtienes un RSA PRIVATE KEY pero necesitas un PKCS#8 BEGIN PRIVATE KEY (o viceversa), conviértelo con openssl pkey y luego apunta tu servidor al archivo convertido.
Preguntas frecuentes
- ¿Qué es un archivo PFX / P12?
- Un archivo .pfx o .p12 es un archivo PKCS#12: un único paquete protegido con contraseña que agrupa un certificado, sus certificados de CA/cadena y la clave privada correspondiente. Windows, IIS y muchas herramientas de firma de código exportan en este formato, mientras que nginx, Apache y la mayoría de las herramientas de Linux quieren las piezas como archivos PEM separados.
- ¿Cómo convierto un PFX a PEM?
- Arrastra el .pfx a esta herramienta, introduce su contraseña y haz clic en Extraer PEM. Divide el archivo en un certificado de hoja, la cadena de CA y la clave privada, cada uno mostrado en su propio panel copiable con un botón de descarga para certificate.pem, private-key.pem y chain.pem.
- ¿Se sube mi clave privada a un servidor?
- No. El archivo .pfx y su contraseña se leen y decodifican por completo en tu navegador, en tu dispositivo. Nada sobre el archivo ni su contenido se envía a ArrayKit ni a ningún otro sitio.
- ¿Por qué necesito la contraseña?
- Un archivo PKCS#12 está cifrado, y la clave privada de su interior está protegida por la contraseña definida al crear el archivo. Sin la contraseña correcta el archivo no puede descifrarse, así que el certificado y la clave no pueden extraerse.
- ¿Cuál es la diferencia entre el certificado, la cadena y la clave privada?
- El certificado de hoja identifica tu dominio o identidad, la cadena de CA son los certificados intermedios que lo enlazan de vuelta con una raíz de confianza, y la clave privada es la mitad secreta del par de claves. Los servidores web suelen necesitar la hoja y la clave, y a menudo también la cadena.
- ¿Admite tanto la extensión .pfx como la .p12?
- Sí. Ambas son el mismo formato PKCS#12: .pfx es común en Windows y .p12 en otros lugares. El extractor lee cualquiera de las dos extensiones y cualquier archivo PKCS#12 válido, sin importar cómo se llame.
Herramientas relacionadas
Todas las herramientas de ArrayKit