Vytvorenie PFX súboru

Súbor s koncovkou PFX značí certifikát vo formáte PKCS #12; v ňom je uložený certifikát, intermediate certifikát autority nutný pre dôveryhodnosť certifikátu a privátny kľúč k certifikátu. Môžete si ho predstaviť ako archív, v ktorom je uložené všetko, čo potrebujete k nasadeniu certifikátu.

Kedy potrebujete vytvoriť PFX? Ide najmä o nasledujúce scenáre:

  • Budete certifikát inštalovať na Windows Server (IIS), ale CSR request nebol vytvorený v IIS.
  • Certifikát potrebujete pre Windows Server, ale nemáte k dispozícii IIS pre vygenerovanie CSR.
  • CSR ste vytvorili v SSLmarketu a uložili ste si privátny kľúč. Teraz potrebujete certifikát nasadiť na Windows Server.
  • Máte Code Signing certifikát a PFX potrebujete pre podpisovanie.

Pre tieto (aj iné) situácie prinášame návod.

Vytvorenie PFX pomocou OpenSSL

OpenSSL je knižnica (program) dostupná v každom unixovom operačnom systéme. Ak máte linuxový server alebo pracujete na Linuxe, tak OpenSSL určite nájdete medzi dostupnými programami.

V OpenSSL je nutné samostatne uložené kľúče slúžiť do jedného PFX (PKCS #12) súboru. Urobíte tak príkazom: openssl PKCS12 -export -in linux_cert + ca.pem -inkey privatniklic.key -out vystup.pfx

Po zadaní hesla chrániaceho certifikát bude v adresári (v ktorom sa nachádzate) vytvorený súbor vystup.pfx (meno súboru volíte v príkaze vyššie).

Vytvorenie PFX na Windows (Servera s IIS)

Vytvorenie PFX z existujúceho certifikátu

Z operačného systému Windows je možné existujúci certifikát vyexportovať z úložiska certifikátov ako súbor PFX pomocou konzoly MMC. Tento postup môžete zvoliť aj na Windows serveri, ak ich IIS do úložiska certifikátov ukladá.

Webový server IIS umožňuje export existujúceho certifikátu do PFX priamo z prehľadu certifikátov na serveri. Privátny kľúč a CSR sa vytvorí počas vytvorenia CSR žiadosti v IIS a po vystavení je certifikát späť naimportovaný (obaja kroky nájdete vo Videonápovede ).

Export je veľmi jednoduchý - kliknete na príslušný certifikát pravým tlačidlom a vyberte Export. Po zvolení hesla chrániaceho PFX súbor je uložený na disk.

Export SSL certifikátu z IIS

Import nového certifikátu a vytvorenie PFX

Tento postup bohužiaľ nie je možný. Úložisko certifikátov Windows neumožňuje importovať samostatný privátny kľúč zo súboru, preto v konzole MMC nezlúčíte kľúč do PFX ako v OpenSSL. Do webového servera IIS môžete importovať iba PFX, takže platí to, čo v predchádzajúcom prípade.

Ak potrebujete do Windows Servera importovať nový certifikát a na serveri nie je privátny kľúč (CSR request ste na serveri nevytvorili), môžete postupovať týmito krokmi:

  • Vytvoriť PFX inde (OpenSSL či inak) a potom certifikát pomocou PFX importovať
  • Vytvoriť na serveri novú žiadosť (CSR request) a vykonať tzv. Reissue certifikátu.
Reissue znamená, že certifikát bude zdarma vydaný znovu a môžete ho importovať k existujúcemu privátnemu kľúču. Môžete ho urobiť sami v zákazníckej administrácii.

Vytvorenie PFX pomocou aplikácie tretej strany

Súbor PFX môžete zo samostatných kľúčov vytvoriť v grafickom programe a obísť tak nutnosť použitia OpenSSL v termináli.

Ako najlepší program pre tento účel je opensource aplikácie XCA . V tomto intuitívnym programu môžete spravovať všetky svoje certifikáty a kľúče. Hlavnou výhodou je automatické priradenie zodpovedajúcich kľúčov k sebe; nemusíte teda hľadať, ktorý privátny kľúč patrí ku ktorému certifikátu. Import kľúčov je jednoduchý a export môžete vykonať do všetkých známych formátov.

program XCA manažmentu kľúčov

S ukradnutým Code signing certifikátom môže útočník podpisovať akékoľvek súbory menom vašej firmy. Preto je dôležité uchovať PFX súbor v bezpečí, alebo zvoliť Code Signing EV certifikát. Certifikát Code Signing EV je uložený na tokene a jeho zneužitie pri krádeží je prakticky vylúčené; po niekoľkonásobnom zlom zadaní hesla sa token zablokuje.

V prípade potreby neváhajte kontaktovať našu zákaznícku podporu , ktorá vám pomôže s výberom certifikátu a akýmkoľvek dotazom.