Vytvorenie PFX súboru

Súbor s koncovkou PFX označuje certifikát vo formáte PKCS#12; v ňom je uložený certifikát, intermediate certifikát autority, nutný pre dôveryhodnosť certifikát a privátny kľúč k certifikátu. Môžete si ho predstaviť ako archív, v kterom je uložené všetko, čo potrebujete k nasadeniu certifikátu.

SSLmarket neumožňuje stiahnutie privátneho kľúča z administrácie, pretože by to vyžadovalo ukladanie privátneho kľúča v našom systéme. To nikdy robiť nebudeme.

Privátny kľúč si u nás môžete vytvoriť spolu s CSR, ale uložiť (pre neskoršiu inštaláciu certifikátu) si musíte privátny kľúč sami.

Kedy potrebujete vytvoriť PFX? Jedná sa najmä o nasledujúce scenáre:

  • Budete certifikát inštalovať na Windows Server (IIS), ale CSR request nebol vytvorený v IIS
  • Certifikát potrebujete pre Windows Server, ale nemáte k dispozícii IIS na vygenerovanie CSR
  • CSR ste vytvorili v SSLmarkete a uložili ste si privátny kľúč. Teraz potrebujete certifikát nasadiť na Windows Server.
  • Máte Code Signing certifikát a PFX potrebujete na podpisovanie

Pre tieto (a iné) situácie prinášame návod.

Vytvorenie PFX s pomocou OpenSSL

OpenSSL je knižnica (program) dostupná v každom unixovom operačnom systéme. Ak máte linuxový server alebo pracujete na Linuxe, tak OpenSSL určite nájdete medzi dostupnými programami.

V OpenSSL je nutné samostatne uložené kľúče zlúčiť do jednoho PFX (PKCS#12) súbore. Vykonáte to príkazom: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatnykluc.key -out vystup.pfx

Po zadaní hesla, chrániaceho certifikát, bude v adresári (v ktorom sa nachádzate) vytvorený súbor vystup.pfx (meno súboru volíte v príkaze vyššie).

Vytvorenie PFX na Windows (Serveri)

Vytvorenie PFX z existujúceho certifikátu

Z operačného systému Windows je možné existujúci certifikát vyexportovať z úložiska certifikátov ako súbor PFX pomocou konzoly MMC. Tento postup môžete zvoliť aj na Windows serveri, ak ich IIS do úložiska certifikátov ukladá.

Webový server IIS umožňuje export existujúceho certifikátu do PFX priamo z prehľadu certifikátov na serveri. Privátny kľúč a CSR sa vytvorí v priebehu vytvorenia CSR žiadosti v IIS a po vystavení je certifikát naspäť naimportovaný (oba kroky nájdete v videonápovede).

Export je veľmi jednoduchý - kliknete na dotyčný certifikát pravým tlačidlom a vyberiete Export. Po zvolení hesla, chrániaceho PFX súbor, je uložený na disk.

Export SSL certifikátu z IIS

Import nového certifikátu a vytvorenie PFX

Tento postup, žiaľ, nie je možný. Úložisko certifikátov Windows neumožňuje importovať samotný privátny kľúč zo súboru, preto v konzole MMC nezlúčite kľúče do PFX ako v OpenSSL. Do webového servera IIS môžete importovat len PFX, takže platí to, čo v predchádzajúcom prípade.

Ak potrebujete na Windows Server importovať nový certifikát a na serveri nie je privátny kľúč (CSR request ste na serveri nevytvorili), môžete postupovať týmito krokmi:

  • Vytvoriť PFX inde (OpenSSL či iné) a potom certifikát vo formáte PFX importovať
  • Vytvoriť na serveri novú žiadosť (CSR request) a vykonať tzv. reissue certifikátu.
Reissue znamená, že certifikát bude zadarmo vydaný znova a môžete ho importovať k existujúcemu privátnímu kľúču. Môžete to vykonať sami v zákazníckej administrácii.

Vytvorenie PFX s pomocou aplikácie tretej strany

Súbor PFX môžete zo samostatných kľúčov vytvoriť v grafickom programe a obísť tak nutnosť použitia OpenSSL v príkazovom riadku.

Ako najlepší program na tento účel je opensource aplikácia XCA. V tomto intuitívnom programe môžete spravovať všetky svoje certifikáty a kľúče. Hlavnou výhodou je automatické priradenie zodpovedajúcich kľúčov k sebe; nemusíte teda hľadať, ktorý privátny kľúč patrí ku ktorému certifikátu. Import kľúčov je jednoduchý a export môžete vykonať do všetkých známych formátov.

program XCA na správu šifrovacích kľúčov

(Ne)bezpečnosť PFX súboru

PFX súbor je vždy chránený heslom, pretože obsahuje privátny kľúč. Pri vytváraní PFX voľte heslo zodpovedne, pretože vás môže ochrániť aj pred zneužitím certifikátu. Útočníka by iste potešilo, ak by heslo k ukradnutému PFX súboru bolo "12345" - o to rýchlejšie by mohol začať certifikát používať.

S ukradnutým Code signing certifikátom môže útočník podpisovať akékoľvek súbory v mene vašej firmy. Preto je dôležité uchovať PFX súbor v bezpečí, alebo zvoliť Code Signing EV certifikát. Certifikát Code Signing EV je uložený na tokene a jeho zneužitie pri krádeži je prakticky vylúčené; po niekoľkonásobnom nesprávnom zadaní hesla sa token zablokuje.

V prípade potreby neváhajte kontaktovať našu zákaznícku podporu, ktorá vám pomôže s výberom certifikátu a akýmkoľvek dotazom.