Bsicamente, necesita usar el utilitario OpenSSL.
Si tiene acceso a un servidor Unix/Linux, seguramente, ya lo tiene instalado.
Si slo tiene acceso a equipos Windows, puede bajar openSSL de:
http://www.slproweb.com/products/Win32OpenSSL.html

Los pasos a seguir son los siguientes:


- Genere su clave privada (private key) ejecutando desde la lnea de comando:

  openssl genrsa -out privada 1024

  Haga un backup de su clave privada para evitar futuros inconvenientes. Tenga
  en cuenta que la va a necesitar una vez que obtenga su certificado X.509, el
  cual no le va a servir de mucho si Ud. no dispone de la clave privada que le
  corresponde.


- Genere su CSR (Certificate Signing Request) ejecutando desde la lnea de 
  comando:
  
  openssl req -new -key privada -subj "/C=AR/O=subj_o/CN=subj_cn/serialNumber=CUIT subj_cuit" -out pedido
  
openssl req -new -key privada -subj "/C=AR/O=alpha2000/CN=ivancasbarro/serialNumber=CUIT 20232886960" -out pedido

  Reemplace:
    subj_o por el nombre de su empresa.
    subj_cn por su nombre o server hostname.
    subj_cuit por la CUIT sin guiones de la empresa o programador.


- Una vez que haya generado correctamente su CSR, puede usarlo para obtener su
  certificado digital X.509. 
  Para el caso del entorno de Testing, envelo por e-mail a 
  webservices@afip.gov.ar aclarando a qu WS "de negocio" (por ej.: "wsfe", 
  "wsseg", etc.) pretende acceder usando este certificado. El certificado le 
  ser devuelto por e-mail.
  Para el caso del entorno de Produccin, Ud. podr obtener su certificado
  interactivamente usando el servicio "Adminitracin de Certificados Digitales"
  del men de trmites con Clave Fiscal en nuestro portal www.afip.gob.ar.
  Adems deber asociar el certificado al Web Service de Negocio en el cul est 
  interesado, usando el servicio "Administrador de Relaciones de Clave Fiscal".
  Para ms datos, ver los siguientes documentos:

  http://wswhomo.afip.gov.ar/fiscaldocs/WSAA/wsaa_obtener_certificado_produccion_20100507.pdf

  http://wswhomo.afip.gov.ar/fiscaldocs/WSAA/wsaa_asociar_certificado_a_wsn_produccion_20100507.pdf


- Segun la tecnologa que elija utilizar para llevar a cabo el desarrollo
  puede llegar a necesitar el certificado en formato pkcs12 (certificado x509 +
  clave privada). Por ejemplo, con el cliente en .NET contribuido.
  Para generarlo debe ejecutar desde la lnea de comando:

     openssl pkcs12 -export -inkey privada -in certificado.crt -out alias.p12


- En algunos equipos Windows al invocar al WSAA para obtener su ticket de acceso
  puede llegar a obtener el siguiente mensaje de error:

     "La contrasea de red especificada no es vlida".

  Este error tiene que ver con el problema de que Windows parece no entender
  que el pkcs#12 generado con openssl no tiene password.
  La solucin es importar el certificado al repositorio de Windows (Control 
  panel/Internet Options/Contents/Certificates).
  Luego volver a exportarlo (hasta la versin 7 de Internet Explorer no es obligatorio ponerle password).
  Tener en cuenta que debe tildar la opcin "Marcar esta clave como exportable".