Cuando instalamos un certificado digital en sistemas Windows, disponemos de la opción:
"Marcar esta clave como exportable. Esto le permitirá hacer una copia de seguridad de las claves o transportarlas en otro momento."
Si al instalar un certificado digital no marcamos esta opción, el certificado no se podrá exportar a otro equipo.
Realmente si no marcamos esta opción evitaremos que la clave privada sea exportable.
En el asistente para la exportación del certificado digital, nos encontraríamos con el siguiente problema:
Cuando nos pregunta: ¿Desea exportar la clave privada con el certificado?
La opción: "Exportar la clave privada" está en gris y solo está disponible la opción: "No exportar la clave privada".
Entonces:
¿Cómo podemos exportar un certificado digital no exportable?
Opción1: Exportar certificado digital no exportable con Jailbreak
Descargamos la siguiente herramienta gratuita Jailbreak.
Descomprimimos el fichero en un directorio y nos situamos en el mismo desde una ventana de CMD como administrador.
A continuación ejecutamos el archivo BAT del directorio y se nos abrirá la consola GUI de certificados, donde si ejecutamos el asistente para la exportación, tendremos activada la opción de exportar la clave privada.
En el fichero README dispondremos de la descripción de todos los ficheros relacionados con la herramienta.
Si ejecutando el BAT no nos funciona, siempre podemos ejecutar la herramienta a mano.
Por ejemplo, nos situamos en el directorio donde está en binario: jailbreak64.exe, por defecto el directorio: binaries
y ejecutamos para un sistema operativo de 64 bits:
Se nos abrirá la consola GUI de certificados, pudiendo exportar el certificado no exportable.
¿Cómo podemos exportar un certificado digital no exportable?
Opción1: Exportar certificado digital no exportable con Jailbreak
Descargamos la siguiente herramienta gratuita Jailbreak.
Descomprimimos el fichero en un directorio y nos situamos en el mismo desde una ventana de CMD como administrador.
A continuación ejecutamos el archivo BAT del directorio y se nos abrirá la consola GUI de certificados, donde si ejecutamos el asistente para la exportación, tendremos activada la opción de exportar la clave privada.
En el fichero README dispondremos de la descripción de todos los ficheros relacionados con la herramienta.
Si ejecutando el BAT no nos funciona, siempre podemos ejecutar la herramienta a mano.
Por ejemplo, nos situamos en el directorio donde está en binario: jailbreak64.exe, por defecto el directorio: binaries
y ejecutamos para un sistema operativo de 64 bits:
jailbreak64.exe %WINDIR%\system32\mmc.exe %WINDIR%\system32\certmgr.msc -64
Se nos abrirá la consola GUI de certificados, pudiendo exportar el certificado no exportable.
Opción2: Exportar certificado digital no exportable con mimikatz
Descargamos la siguiente herramienta gratuita: mimikatz
Una vez descomprimida, nos situamos en el directorio donde se ubica la herramienta desde una ventana de CMD como administrador.
A continuación, ejecutamos:
crypto::capi
crypto::certificates /export
y vemos como todos los certificados son exportados con sus claves privadas.
Los ficheros PFX los encontraremos en el mismo directorio donde hemos ejecutado el programa.
El password de los ficheros PFX es: mimikatz
Una vez descomprimida, nos situamos en el directorio donde se ubica la herramienta desde una ventana de CMD como administrador.
A continuación, ejecutamos:
crypto::capi
crypto::certificates /export
y vemos como todos los certificados son exportados con sus claves privadas.
Los ficheros PFX los encontraremos en el mismo directorio donde hemos ejecutado el programa.
El password de los ficheros PFX es: mimikatz
Advertencia:
Estas dos herramientas pueden ser consideradas por un antivirus como herramientas de hacking y por tanto bloqueadas.
Recuerda que los sistemas donde ejecutes estas herramientas, deben ser sistemas propios o que estés debidamente autorizado para ejecutarlas.
Hola SysAdmit,
ResponderEliminarNo conocía estas utilidades para exportar certificados no exportables, me las apunto por si alguna vez las necesito.¡¡Muy buen aporte!!.
Gracias.
Un saludo.
¡Muchas gracias Xabier!
EliminarUn saludo,
Xavi.
Muchaas gracias, funioco perfecto el jailbreak. antes habia utilizado otra version de jailbreak más grafica (sin carpeta binaries), pero no habia funcionado.... muchas gracias me sacaste de un apuro!!
ResponderEliminar10 pts. ;D
Hola Mauricio,
EliminarGracias a ti por tu comentario.
Me alegro que te haya resultado útil.
Un saludo,
Xavi.
Muchas gracias por el aporte. Siempre hay una migración a equipo nuevo en la que no falta que haya algún certificado no exportable y no recuperable. Gracias a este post no volveré a tener este tipo de problemas! Muchas gracias!
ResponderEliminarHola Rodrigo,
EliminarMe alegro que te haya servido.
Muchas gracias por tu comentario.
Un saludo,
Xavi.
Lamentablemente no me funcionó, no se si hice algo mal... :(
ResponderEliminarHola Ilana,
EliminarHay dos métodos en el post.
Si no te funciona uno, puedes probar con el segundo.
Un saludo,
Xavi.
Descomprimimos el fichero en un directorio y nos situamos en el mismo desde una ventana de CMD como administrador.
ResponderEliminarPor favor, como se hace.
Cual es la sintaxis correcta.
Para situarse en un directorio desde CMD, abres una ventana de CMD y ejecutas el comando cd seguido del directorio.
EliminarPor ejemplo: cd C:\sysadmit
Gracias por el aporte
ResponderEliminarHola Raúl,
EliminarGracias a ti por tu comentario.
Un saludo,
Xavi.
no me funciona, alguien me podria ayudar, lo he intentado de las 2 maneras y es imposible, lo estoy haciendo con un windows 10
ResponderEliminarHola,
EliminarNecesitaríamos saber el error que se produce o alguna pista para poderte ayudar.
Un saludo,
Xavi.
Con Windows 10
ResponderEliminarC:\jailbreak-master\binaries>jailbreak64.exe %windir%\system32\mmc.exe %windir%system32\certmgr.msc -64
CreateProces failed with error code = 740
Command line = C:\WINDOWS\system32\mmc.exe C:\WINDOWSsystem32\certmgr.msc -64
Eso es que no abriste la consola como administrador
ResponderEliminarHola Xavi,
ResponderEliminarmuchas gracias por tu post!! Mi problema es que no puedo ejecutar el jailbreak64.exe. Me indica error del sistema (dice que falta EasyHook64.dll en el sistema) he intentado reintalarlo y nada. Además, intento entrar en la carpeta desde el cmd y tampoco puedo. ¿Sabrías decirme porqué sucede esto? estoy algo perdida. Mil gracias.
Hola Virginia,
EliminarEs un poco extraño ya que la librería que comentas está dentro de la carpeta "binaries" del ZIP correspondiente al Jailbreak, de hecho está junto con el ejecutable jailbreak64.exe
Puedes probar con la opción 2 que indica el post: "Exportar certificado digital no exportable con mimikatz"
Un saludo,
Xavi.
Mil gracias!
ResponderEliminar¡Gracias a ti por tu comentario!
EliminarUn saludo,
Xavi.
Buenas tardes. En alguna ocasión sí me ha funcionado Jailbreak, pero hoy no hay manera. Llego hasta abrir el cermgr pero al exportar no me da opción de clave privada. Alguna idea?
ResponderEliminarPuedes probar de ejecutar la herramienta como administrador.
EliminarUn saludo,
Xavi.
Si te refieres al cmd, sí, lo abro como administrador. Si no es eso, me puedes explicar cómo hacerlo?. Muchas gracias
ResponderEliminarSí, me refería a eso. También puedes probar con el otro método explicado en el post.
EliminarUn saludo,
Xavi.
También lo he probado Xavi. Y consigo que copie todos los certificados en el directorio X64 que genera la herramienta, pero los copia sin clave privada
ResponderEliminarPues no se me ocurre a que puede deberse el problema. Si descubres como solucionar el problema, ya nos lo comentarás en este post.
Eliminar¡Un saludo!
Xavi.
Buenas noches excelente post, realice todo lo mencionado pero al finalizar la exportación del certificado me da un mensaje de error: Clave no válida para utilizar en el estado especificado
ResponderEliminarUn Saludo
Hola,
Eliminar¿Has probado con los dos métodos explicados en el post?
Un saludo,
Xavi.
Muchas gracias por la info, me ha sido de gran utilidad :)
ResponderEliminar¡Gracias a ti por tu comentario! Me alegro que te haya sido útil.
EliminarUn saludo,
Xavi.
Ere un crack!! La segunda opción me sirvió. Tenia Windows 10 Pro de 32 bits. Graciasssss
ResponderEliminar¡Muchas gracias a ti por tu comentario!
EliminarUn saludo,
Xavi.
Hola, me he descargado el jailbreak, cuando entro en cmd vomo administrador intento poner jailbreak64.exe y me fice q no lo reconoce como comando interno. Me podrías poner los pasos de como ejecutarlo en cmd. Tengo windows 7 Gracias.
ResponderEliminarHola,
EliminarPor el error que comentas, tiene pinta que desde el CMD no estás situado en la carpeta donde se encuentra el fichero: jailbreak64.exe
Si repasas el post verás que se puede ejecutar con un BAT o bien utilizando jailbreak64.exe, pero tienes que estar situado en el directorio donde se encuentra.
Un saludo,
Xavi.
Perfecto. Me habeis dado la vida. Llevo horas buscanco como exportar un .cer a .pfx con la clave. Muchas gracias.
ResponderEliminarHola Carlos,
Eliminar¡Me alegro mucho que te haya resultado útil!
Un saludo,
Xavi.
Hola, felicidades por este post, veo que resuelve a muchos la vida. En mi caso he realizado todo el proceso (como administrador) y abre el cermgr pero aparece deshabilitada la opción de clave privada y no consigo utilzarlos. Ayuda bienvenida.
ResponderEliminarHola,
EliminarPuedes probar con la opción 2 (herramienta mimikatz).
Ya nos dirás si te funciona.
Un saludo,
Xavi.
Hola, también he probado con mimikatz, crea los .der y .pfx, pero cuando importo el pfx incluyo la clave mimikatz, dice instalación correcta pero si intento exportarlos (para cambiar la clave) de nuevo no aparece esa opción habiiltada, o si intento usarlos en la AEAT por ejemplo, da el mismo error 403 como si no tuviera claves o el certificado tuviera errores. Solo importo el pfx, tengo que hacer algo con el .der? Me estoy vovliendo loca, necesito esos tres certificados, uno es de empresa. Muchas gracias por la ayuda!!
EliminarHola,
EliminarTanto las herramientas mimikatz como jailbreak exportan el certificado con la clave privada.
Cuando importas el PFX a otro equipo, si no marcas: "Marcar esta clave como exportable", volverás a estar en las mismas, no podrás exportarlo sin estas herramientas.
Puedes ver la opción "Marcar esta clave como exportable" en la primera captura de pantalla de este post.
Un saludo,
Xavi.
Muchas gracias!! Me ha servido. He usado jalibreak
ResponderEliminar¡Genial! Gracias por tu comentatario.
EliminarUn saludo,
Xavi.
ambos metodos no me dejaron exportar la clave privada.. si me aparece en el primero habilitada la opcion exportar clave privada,pero en el ultimo paso me sale error.. lo mismo en el segundo metodo, me da este error
ResponderEliminarPrivate export : ERROR kull_m_crypto_exportPfx ; PFXExportCertStoreEx/kull_m_file_writeData (0x8009000b)
Hola,
EliminarPor el error que comentas, tiene pinta de que el problema es que el certificado no tiene la correspondiente clave privada asociada.
Revisa este enlace:
https://www.sysadmit.com/2020/01/windows-certificado-no-tiene-clave-privada.html
Un saludo,
Xavi.
Buenas tardes. He conseguido llegar con jailbreak hasta abrir la ventana GUI y ver los certificados, aunque al intentar exportarlo no me activa la opción de exportar la clave privada. Qué puedo haber hecho mal? Muchas gracias.
ResponderEliminarHola,
EliminarDebería funcionar, igualmente puedes probar con el segundo método, utilizando: mimikatz
Un saludo,
Xavi.
Me da error el antivirus, me dice que los enlaces son "maliciosos". Hay algún problema en ellos o desactivo el antivirus para poder ejecutarlos?
ResponderEliminarGracias!
Hola,
EliminarPuedes estar tranquilo, ambos programas no son virus, son herramientas de hacking que los antivirus suelen bloquear.
Un saludo,
Xavi.
Hola,me has sacado de un apuro,he conseguido exportar los certificados con el jailbreak, muchas gracias.
ResponderEliminar¡Me alegro que te haya ayudado!
EliminarUn saludo,
Xavi.
Perfecto con la aplicación mimikatz_trunk.
ResponderEliminarMuchas gracias
Me alegro que te haya funcionado bien.
EliminarUn saludo,
Xavi.
Perfecto con la primera opción!!! Muchísimas gracias por el tip!!!
ResponderEliminarUn saludo,
Cuando intento descargarlo el antivirus me lo echa para atrás. Desactivo el antivirus lo descargo y luego se lo paso una vez descargado y dice que está infectado y lo elimina. Vamos que está infectado de virus.
ResponderEliminarNo es un virus, simplemente que los antivirus detectan la herramienta como una herramienta de hacking y por tanto bloquean su ejecución.
EliminarSaludos,
Xavi.
Enhorabuena por el contenido. ¡Buen trabajo!
ResponderEliminar¡Muchas gracias por tu comentario!
EliminarSaludos,
Xavi.
Doc, tengo un problema recurrente en algunos equipos, resumiendo: estamos renovando equipos y para ello exportamos los cert de firma digital con jailbreak e instalarlos en los equipos nuevos, hasta alli todo bien, hasta realizamos prueba de firma y todo funciona correctamete.
ResponderEliminarPero luego de un tiempo los usurios reportan problemas al firmar con el mensaje mensaje de error: Clave no válida para utilizar en el estado especificado.
La solucion que por el momento utilizamos es instalar nuevamente el certificado y vuelven a firmar correctamente.
No se porque se da este error, ni la frecuencia con la que firman los usuarios o en que momento se les presentó o si volvera a presentarse.
Si tuvieras alguna sugerencia, te agradezco.
Hola,
EliminarEn condiciones normales, te aconsejaría que no exportes los certificados digitales con Jailbreak.
Solo utiliza Jailbreak en el caso que que no ese haya instalado el certificado de forma correcta, indicando que este no es exportable.
Cuando instales un certificado, marca la siguiente opción: "Marcar esta clave como exportable. Esto le permitirá hacer una copia de seguridad de las claves o transportarlas en otro momento."
Una vez instalado, exportalo marcando que exporte también la clave privada y también marca la opción: "Incluir todas las propiedades extendidas".
Saludos,
Xavi.