Importando um certificado e chave para um SmartCard no Windows 10+ / 2008+

Para credenciais de autenticação, é altamente recomendável emitir certificados diretamente no cartão inteligente. Isso garante que a chave privada seja gerada no cartão inteligente e nunca saia do cartão.

No entanto, para testes, às vezes é útil importar um certificado e suas chaves associadas de um arquivo PFX. Para importar de um arquivo PFX, você pode usar um utilitário, como vSEC_CMS ou Certutil, o utilitário de certificado incluído no Microsoft Windows. 

Importante: O minidriver PIVKey deve ser instalado para carregar ou excluir certificados do PIVKey (sem o minidriver PIVKey, o PIVKey será somente leitura).

Primeiro, certifique-se de definir as seguintes configurações do Registro para habilitar a importação de chaves.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider]
"AllowPrivateSignatureKeyImport" = dword: 00000001
"AllowPrivateExchangeKeyImport" = dword: 00000001

Para importar um certificado contido no arquivo “testcert.pfx”,  abra um prompt de comando em modo administrador e execute:

certutil -v -csp "Microsoft Base Smart Card Crypto Provider" -p senha -importpfx testcert.pfx

-csp deve ser o provedor de criptografia de cartão inteligente da Microsoft Base ou, se estiver usando middleware de terceiros, o CSP para esse middleware.

-p deve ser a senha usada para proteger o .pfx que contém o certificado e a chave associada

-importpfx deve ser o caminho para o certificado pfx

-v fornece mensagens de erro detalhadas para depuração.