1. Domov
2. Nápoveda
3. Práca s certifikáty
4. Vytvorenie PFX súboru

Vytvorenie PFX súboru

Súbor s koncovkou PFX značí certifikát vo formáte PKCS #12; v ňom je uložený certifikát, intermediate certifikát autority nutný pre dôveryhodnosť certifikátu a privátny kľúč k certifikátu. Môžete si ho predstaviť ako archív, v ktorom je uložené všetko, čo potrebujete k nasadeniu certifikátu.

Kedy potrebujete vytvoriť PFX? Ide najmä o nasledujúce scenáre:

• Budete certifikát inštalovať na Windows Server (IIS), ale CSR request nebol vytvorený v IIS.
• Certifikát potrebujete pre Windows Server, ale nemáte k dispozícii IIS pre vygenerovanie CSR.
• CSR ste vytvorili v SSLmarketu a uložili ste si privátny kľúč. Teraz potrebujete certifikát nasadiť na Windows Server.

Pre tieto (aj iné) situácie prinášame návod.

Vytvorenie PFX pomocou OpenSSL

OpenSSL je knižnica (program) dostupná v každom unixovom operačnom systéme. Ak máte linuxový server alebo pracujete na Linuxe, tak OpenSSL určite nájdete medzi dostupnými programami.

V OpenSSL je nutné samostatne uložené kľúče slúžiť do jedného PFX (PKCS #12) súboru. Urobíte tak príkazom: openssl PKCS12 -export -in linux_cert + ca.pem -inkey privatniklic.key -out vystup.pfx

Po zadaní hesla chrániaceho certifikát bude v adresári (v ktorom sa nachádzate) vytvorený súbor vystup.pfx (meno súboru volíte v príkaze vyššie).

Vytvorenie PFX na Windows (Servera s IIS)

Vytvorenie PFX z existujúceho certifikátu

Z operačného systému Windows je možné existujúci certifikát vyexportovať z úložiska certifikátov ako súbor PFX pomocou konzoly MMC. Tento postup môžete zvoliť aj na Windows serveri, ak ich IIS do úložiska certifikátov ukladá.

Webový server IIS umožňuje export existujúceho certifikátu do PFX priamo z prehľadu certifikátov na serveri. Privátny kľúč a CSR sa vytvorí počas vytvorenia CSR žiadosti v IIS a po vystavení je certifikát späť naimportovaný (obaja kroky nájdete vo Videonápovede ).

Export je veľmi jednoduchý - kliknete na príslušný certifikát pravým tlačidlom a vyberte Export. Po zvolení hesla chrániaceho PFX súbor je uložený na disk.

Import nového certifikátu a vytvorenie PFX

Tento postup bohužiaľ nie je možný. Úložisko certifikátov Windows neumožňuje importovať samostatný privátny kľúč zo súboru, preto v konzole MMC nezlúčíte kľúč do PFX ako v OpenSSL. Do webového servera IIS môžete importovať iba PFX, takže platí to, čo v predchádzajúcom prípade.

Ak potrebujete do Windows Servera importovať nový certifikát a na serveri nie je privátny kľúč (CSR request ste na serveri nevytvorili), môžete postupovať týmito krokmi:

• Vytvoriť PFX inde (OpenSSL či inak) a potom certifikát pomocou PFX importovať
• Vytvoriť na serveri novú žiadosť (CSR request) a vykonať tzv. Reissue certifikátu.

Vytvorenie PFX pomocou aplikácie tretej strany

Súbor PFX môžete zo samostatných kľúčov vytvoriť v grafickom programe a obísť tak nutnosť použitia OpenSSL v termináli.

Ako najlepší program pre tento účel je opensource aplikácie XCA . V tomto intuitívnym programu môžete spravovať všetky svoje certifikáty a kľúče. Hlavnou výhodou je automatické priradenie zodpovedajúcich kľúčov k sebe; nemusíte teda hľadať, ktorý privátny kľúč patrí ku ktorému certifikátu. Import kľúčov je jednoduchý a export môžete vykonať do všetkých známych formátov.

(Ne) bezpečnosť PFX súboru

PFX súbor je vždy chránený heslom, pretože obsahuje privátny kľúč. Pri vytváraní PFX voľte heslo zodpovedne, pretože vás môže ochrániť aj pred zneužitím certifikátu. Útočníka by určite potešilo, ak by heslo ku ukradnutému PFX súboru bolo"12345" - o to rýchlejšie by mohol začať certifikát používať.

Bezpečnosť uloženia Code Signing certifikátu v súbore bola hlavným dôvodom pre prechod všetkých týchto certifikátov na token. Certifikát Code Signing OV aj EV musí byť uložený na tokene a jeho zneužitie pri krádeží je prakticky vylúčené; po niekoľkonásobnom nesprávnom zadaní hesla sa token zablokuje.

V prípade potreby neváhajte kontaktovať našu zákaznícku podporu , ktorá vám pomôže s výberom certifikátu a akýmkoľvek dotazom.