Buscar

Windows: Exportar certificado digital no exportable

Cuando instalamos un certificado digital en sistemas Windows, disponemos de la opción:

"Marcar esta clave como exportable. Esto le permitirá hacer una copia de seguridad de las claves o transportarlas en otro momento."

Windows: Exportar certificado digital no exportable

Si al instalar un certificado digital no marcamos esta opción, el certificado no se podrá exportar a otro equipo.

Realmente si no marcamos esta opción evitaremos que la clave privada sea exportable.

En el asistente para la exportación del certificado digital, nos encontraríamos con el siguiente problema:

Windows: Exportar certificado digital no exportable

Cuando nos pregunta: ¿Desea exportar la clave privada con el certificado?

La opción: "Exportar la clave privada" está en gris y solo está disponible la opción: "No exportar la clave privada".

Entonces: 

¿Cómo podemos exportar un certificado digital no exportable?

Opción1:  Exportar certificado digital no exportable con Jailbreak

Descargamos la siguiente herramienta gratuita:

https://github.com/iSECPartners/jailbreak/archive/master.zip

Descomprimimos el fichero en un directorio y nos situamos en el mismo desde una ventana de CMD como administrador.

A continuación ejecutamos el archivo BAT del directorio y se nos abrirá la consola GUI de certificados, donde si ejecutamos el asistente para la exportación, tendremos activada la opción de exportar la clave privada.

Windows: Exportar certificado digital no exportable

En el fichero README dispondremos de la descripción de todos los ficheros relacionados con la herramienta.

Si ejecutando el BAT no nos funciona, siempre podemos ejecutar la herramienta a mano.

Por ejemplo, nos situamos en el directorio donde está en binario: jailbreak64.exe, por defecto el directorio: binaries

y ejecutamos para un sistema operativo de 64 bits:

jailbreak64.exe %WINDIR%\system32\mmc.exe %WINDIR%\system32\certmgr.msc -64

Se nos abrirá la consola GUI de certificados, pudiendo exportar el certificado no exportable.

Opción2:  Exportar certificado digital no exportable con mimikatz


Descargamos la siguiente herramienta gratuita: mimikatz


https://github.com/gentilkiwi/mimikatz/releases/latest

Una vez descomprimida, nos situamos en el directorio donde se ubica la herramienta desde una ventana de CMD como administrador.

A continuación, ejecutamos:

crypto::capi
crypto::certificates /export


y vemos como todos los certificados son exportados con sus claves privadas.

Los ficheros PFX los encontraremos en el mismo directorio donde hemos ejecutado el programa.

El password de los ficheros PFX es: mimikatz

Windows: Exportar certificado digital no exportable

44 comentarios:

  1. Hola SysAdmit,

    No conocía estas utilidades para exportar certificados no exportables, me las apunto por si alguna vez las necesito.¡¡Muy buen aporte!!.

    Gracias.

    Un saludo.

    ResponderEliminar
  2. Muchaas gracias, funioco perfecto el jailbreak. antes habia utilizado otra version de jailbreak más grafica (sin carpeta binaries), pero no habia funcionado.... muchas gracias me sacaste de un apuro!!

    10 pts. ;D

    ResponderEliminar
    Respuestas
    1. Hola Mauricio,

      Gracias a ti por tu comentario.

      Me alegro que te haya resultado útil.

      Un saludo,

      Xavi.

      Eliminar
  3. Muchas gracias por el aporte. Siempre hay una migración a equipo nuevo en la que no falta que haya algún certificado no exportable y no recuperable. Gracias a este post no volveré a tener este tipo de problemas! Muchas gracias!

    ResponderEliminar
    Respuestas
    1. Hola Rodrigo,

      Me alegro que te haya servido.

      Muchas gracias por tu comentario.

      Un saludo,

      Xavi.

      Eliminar
  4. Lamentablemente no me funcionó, no se si hice algo mal... :(

    ResponderEliminar
    Respuestas
    1. Hola Ilana,

      Hay dos métodos en el post.

      Si no te funciona uno, puedes probar con el segundo.

      Un saludo,

      Xavi.

      Eliminar
  5. Descomprimimos el fichero en un directorio y nos situamos en el mismo desde una ventana de CMD como administrador.
    Por favor, como se hace.
    Cual es la sintaxis correcta.

    ResponderEliminar
    Respuestas
    1. Para situarse en un directorio desde CMD, abres una ventana de CMD y ejecutas el comando cd seguido del directorio.

      Por ejemplo: cd C:\sysadmit

      Eliminar
  6. Respuestas
    1. Hola Raúl,

      Gracias a ti por tu comentario.

      Un saludo,

      Xavi.

      Eliminar
  7. no me funciona, alguien me podria ayudar, lo he intentado de las 2 maneras y es imposible, lo estoy haciendo con un windows 10

    ResponderEliminar
    Respuestas
    1. Hola,

      Necesitaríamos saber el error que se produce o alguna pista para poderte ayudar.

      Un saludo,

      Xavi.

      Eliminar
  8. Con Windows 10

    C:\jailbreak-master\binaries>jailbreak64.exe %windir%\system32\mmc.exe %windir%system32\certmgr.msc -64
    CreateProces failed with error code = 740
    Command line = C:\WINDOWS\system32\mmc.exe C:\WINDOWSsystem32\certmgr.msc -64

    ResponderEliminar
  9. Eso es que no abriste la consola como administrador

    ResponderEliminar
  10. Hola Xavi,

    muchas gracias por tu post!! Mi problema es que no puedo ejecutar el jailbreak64.exe. Me indica error del sistema (dice que falta EasyHook64.dll en el sistema) he intentado reintalarlo y nada. Además, intento entrar en la carpeta desde el cmd y tampoco puedo. ¿Sabrías decirme porqué sucede esto? estoy algo perdida. Mil gracias.

    ResponderEliminar
    Respuestas
    1. Hola Virginia,

      Es un poco extraño ya que la librería que comentas está dentro de la carpeta "binaries" del ZIP correspondiente al Jailbreak, de hecho está junto con el ejecutable jailbreak64.exe

      Puedes probar con la opción 2 que indica el post: "Exportar certificado digital no exportable con mimikatz"

      Un saludo,

      Xavi.

      Eliminar
  11. Buenas tardes. En alguna ocasión sí me ha funcionado Jailbreak, pero hoy no hay manera. Llego hasta abrir el cermgr pero al exportar no me da opción de clave privada. Alguna idea?

    ResponderEliminar
    Respuestas
    1. Puedes probar de ejecutar la herramienta como administrador.

      Un saludo,

      Xavi.

      Eliminar
  12. Si te refieres al cmd, sí, lo abro como administrador. Si no es eso, me puedes explicar cómo hacerlo?. Muchas gracias

    ResponderEliminar
    Respuestas
    1. Sí, me refería a eso. También puedes probar con el otro método explicado en el post.

      Un saludo,

      Xavi.

      Eliminar
  13. También lo he probado Xavi. Y consigo que copie todos los certificados en el directorio X64 que genera la herramienta, pero los copia sin clave privada

    ResponderEliminar
    Respuestas
    1. Pues no se me ocurre a que puede deberse el problema. Si descubres como solucionar el problema, ya nos lo comentarás en este post.

      ¡Un saludo!

      Xavi.

      Eliminar
  14. Buenas noches excelente post, realice todo lo mencionado pero al finalizar la exportación del certificado me da un mensaje de error: Clave no válida para utilizar en el estado especificado

    Un Saludo

    ResponderEliminar
    Respuestas
    1. Hola,

      ¿Has probado con los dos métodos explicados en el post?

      Un saludo,

      Xavi.

      Eliminar
  15. Muchas gracias por la info, me ha sido de gran utilidad :)

    ResponderEliminar
    Respuestas
    1. ¡Gracias a ti por tu comentario! Me alegro que te haya sido útil.

      Un saludo,

      Xavi.

      Eliminar
  16. Ere un crack!! La segunda opción me sirvió. Tenia Windows 10 Pro de 32 bits. Graciasssss

    ResponderEliminar
    Respuestas
    1. ¡Muchas gracias a ti por tu comentario!

      Un saludo,

      Xavi.

      Eliminar
  17. Hola, me he descargado el jailbreak, cuando entro en cmd vomo administrador intento poner jailbreak64.exe y me fice q no lo reconoce como comando interno. Me podrías poner los pasos de como ejecutarlo en cmd. Tengo windows 7 Gracias.

    ResponderEliminar
    Respuestas
    1. Hola,

      Por el error que comentas, tiene pinta que desde el CMD no estás situado en la carpeta donde se encuentra el fichero: jailbreak64.exe

      Si repasas el post verás que se puede ejecutar con un BAT o bien utilizando jailbreak64.exe, pero tienes que estar situado en el directorio donde se encuentra.

      Un saludo,

      Xavi.

      Eliminar
  18. Perfecto. Me habeis dado la vida. Llevo horas buscanco como exportar un .cer a .pfx con la clave. Muchas gracias.

    ResponderEliminar
    Respuestas
    1. Hola Carlos,

      ¡Me alegro mucho que te haya resultado útil!

      Un saludo,

      Xavi.

      Eliminar
  19. Hola, felicidades por este post, veo que resuelve a muchos la vida. En mi caso he realizado todo el proceso (como administrador) y abre el cermgr pero aparece deshabilitada la opción de clave privada y no consigo utilzarlos. Ayuda bienvenida.

    ResponderEliminar
    Respuestas
    1. Hola,

      Puedes probar con la opción 2 (herramienta mimikatz).

      Ya nos dirás si te funciona.

      Un saludo,

      Xavi.

      Eliminar
    2. Hola, también he probado con mimikatz, crea los .der y .pfx, pero cuando importo el pfx incluyo la clave mimikatz, dice instalación correcta pero si intento exportarlos (para cambiar la clave) de nuevo no aparece esa opción habiiltada, o si intento usarlos en la AEAT por ejemplo, da el mismo error 403 como si no tuviera claves o el certificado tuviera errores. Solo importo el pfx, tengo que hacer algo con el .der? Me estoy vovliendo loca, necesito esos tres certificados, uno es de empresa. Muchas gracias por la ayuda!!

      Eliminar
    3. Hola,

      Tanto las herramientas mimikatz como jailbreak exportan el certificado con la clave privada.

      Cuando importas el PFX a otro equipo, si no marcas: "Marcar esta clave como exportable", volverás a estar en las mismas, no podrás exportarlo sin estas herramientas.

      Puedes ver la opción "Marcar esta clave como exportable" en la primera captura de pantalla de este post.

      Un saludo,

      Xavi.

      Eliminar
  20. Muchas gracias!! Me ha servido. He usado jalibreak

    ResponderEliminar
  21. ambos metodos no me dejaron exportar la clave privada.. si me aparece en el primero habilitada la opcion exportar clave privada,pero en el ultimo paso me sale error.. lo mismo en el segundo metodo, me da este error
    Private export : ERROR kull_m_crypto_exportPfx ; PFXExportCertStoreEx/kull_m_file_writeData (0x8009000b)

    ResponderEliminar
    Respuestas
    1. Hola,

      Por el error que comentas, tiene pinta de que el problema es que el certificado no tiene la correspondiente clave privada asociada.

      Revisa este enlace:

      https://www.sysadmit.com/2020/01/windows-certificado-no-tiene-clave-privada.html

      Un saludo,

      Xavi.

      Eliminar