Como exportar un certificado digital sin clave almacenada o si no recordamos la clave, manual completo.

Lo que voy a contar y explicar en este post a muchos les sorprenderá, a otros les dará igual y otros sabrán perfectamente de lo que hablo.

ATENCION: No voy a explicar como obtener un certificado digital, ni como renovarlo ni como instalarlo, de eso hay miles de manuales, blogs y demas webs que se encargan de copiarse el contenido unas a otras, eso no me interesa, ya que si estas aquí, leyendo esto, es por que tienes un problema muy gordo con tu certificado. ¿A que si?

Voy a empezar por el principio, si sois usuarios de certificados digitales de la FNMT estais familiarizados con el tema, sabeis como solicitar e instalar un certificado digital personal (persona física valido por 5 años y renovacion online gratis) o incluso uno de representación (persona jurídica valido por 2 años y renovación presencial de pago) de una entidad/empresa/organización.

Cuando obtenemos nuestro certificado personal/representación, procedemos a instalarlo y hay una opción que es OPCIONAL y debería ser OBLIGATORIA, es esta:

Si NO MARCAMOS esta opción a la hora de realizar la instalación del certificado, no podremos EXPORTARLO en un futuro de ninguna manera.

Poneros en la situación de no encontrar el fichero *.p12 o *.pfx original del certificado, que pasa miles de veces, estas tranquilo por que sabes que lo tienes instalado en el equipo y vas a EXPORTARLO para sacarlo y poder usarlo en otro equipo, bien por que vas a formatear el ordenador, bien por que vas a cambiar de equipo, lo que sea…. Y NO PUEDES.

Te salen estas opciones de EXPORTACIÓN:

Las opciones que te salen si no marcaste anteriormente la opción de EXPORTAR LA CLAVE PRIVADA son estas, *.CER y *.P7B, estas extensiones NO VALEN PARA MOVER EL CERTIFICADO DE UN EQUIPO A OTRO, no sirven para nada, ni como copia de seguridad. La que necesitas es la *.p12 o la *.pfx, las cuales no puedes seleccionar.

¿Y AHORA QUE HAGO?

Ya estas en situación y ya sabes de lo que te hablo, esto también es válido para cuando OLVIDAS la CLAVE DE EXPORTACIÓN que le pusiste al certificado.

Resumiendo, este método sirve para:

• Poder exportar el certificado aun SIN HABER MARCADO LA OPCIÓN DE CLAVE EXPORTABLE anteriormente explicado.
• Poder exportar el certificado SI NO CONOCES O HAS OLVIDADO LA CLAVE DE EXPORTACIÓN QUE PUSISTE CUANDO LO INSTALASTE POR PRIMERA VEZ, algo demasiado habitual por desgracia.

Lo primero que tenemos que hacer es descargar el programa MIMIKATZ de su web oficial en Github.com: https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210810-2

Os recomiendo desactivar el antivirus antes de bajarlo y descomprimirlo.

Una vez descargado, lo descomprimimos en la raiz de nuestro disco duro C: o D: para facilitar el siguiente paso.

Abrimos una ventana de MS-Dos y nos vamos a la ruta C: o D:\mimikatz\Win32 y ejecutamos mimikatz:

Nos aparece un #shell esperando instrucciones, escribimos y ejecutamos crypto::capi (ENTER)

El siguiente comando es crypto::certificates /export (ENTER)

Aqui lo que hace el programa es buscar y exportar TODOS los certificados que encuentre en nuestro equipo. Los deja en la ruta de ejecucion del programa con la extension *.pfx y clave de instalacion mimikatz.

Ahora ya tenemos el certificado exportando en el formato correcto y con clave de instalación, procedemos a copiar este fichero a un USB o a donde querais, cuando lo instaleis de nuevo la clave es mimikatz:

Si queremos cambiar la clave mimikatz por otra a nuestro gusto, lo que hay que hacer es finalizar la instalación del certificado y despues realizar una nueva EXPORTACION marcando la opción de clave como exportable.

En esta ultima imagen es donde debeis poner vuestra CLAVE PERSONAL para la EXPORTACIÓN del certificado, la que querais.

Y con esto ya teneis exportado vuestro/s certificados los cuales pensabais que no se podría.

Mi recomendación es que hagais una exportación y guardeis el fichero *.p12 en un USB unicamente destinado a este fin, no dejeis la copia de seguridad del certificado en el propio ordenador por que si se os jode, lo perdeis igualmente. Tambien podeis dejar una copia en algun servicio de almacenamiento en la nube (Mega, Google Drive…) cada uno lo que vea.

Este programa sirve para muchas mas cosas, pero no me voy a meter en esos terrenos, lo que nos importa ya esta explicado, espero que os sirva de ayuda, un saludo.