Для ECDSA:
openssl pkcs12 -in certificate_ECDSA.pfx -out certificate_ECDSA.key -nodes -nocerts openssl pkcs12 -in certificate_ECDSA.pfx -out certificate_ECDSA.crt -nokeys
Если pfx запаролен, будет запрошен Import Password.
Для RSA:
openssl pkcs12 -in certificate_RSA.pfx -clcerts -nokeys -out certificate_RSA.crt openssl pkcs12 -in certificate_RSA.pfx -nocerts -out certificate_RSA-encrypted.key openssl rsa -in certificate_RSA-encrypted.key -out certificate_RSA.key
Если pfx запаролен, будет запрошен Import Password. Ключ сперва сохраняется в зашифрованном виде, для этого требуется задать PEM pass, который затем нужно указать при расшифровке ключа.