Файл сертификата Pfx, как установить

Обновлено: 21.11.2024

SSLmarket не позволяет загружать закрытый ключ из администрации, так как это потребовало бы хранения закрытого ключа в нашей системе. Мы никогда этого не сделаем.

Вы можете создать закрытый ключ вместе с CSR, но вы должны сохранить его самостоятельно (для последующей установки сертификата). Ваш браузер автоматически предложит загрузить закрытый ключ.

Когда вам нужно создать PFX? Наиболее распространенные сценарии

  • Вы установите сертификат на Windows Server (IIS), но запрос CSR не был создан в IIS.
  • Вам нужен сертификат для Windows Server, но у вас нет IIS для создания CSR.
  • Вы создали CSR в SSLmarket и сохранили свой закрытый ключ. Теперь вам нужно развернуть сертификат на Windows Server.
  • У вас есть сертификат подписи кода, и для подписи вам нужен PFX.

Вот руководство для этих (и других) ситуаций.

Создание PFX с помощью OpenSSL

OpenSSL — это библиотека (программа), доступная в любой операционной системе Unix. Если у вас есть Linux-сервер или вы работаете на Linux, то OpenSSL точно есть среди доступных программ (в репозитории).

Когда вы вводите пароль, защищающий сертификат, файл output.pfx будет создан в каталоге (где вы находитесь).

Создание PFX в Windows (сервер с IIS)

Создать PFX из существующего сертификата

В операционной системе Windows существующий сертификат можно экспортировать из хранилища сертификатов в виде PFX-файла с помощью MMC. Вы также можете сделать это на сервере Windows, если IIS хранит их в хранилище сертификатов.

Веб-сервер IIS позволяет экспортировать существующий сертификат в PFX непосредственно из хранилища сертификатов сервера. Закрытый ключ и CSR создаются во время создания запроса CSR в IIS, а сертификат повторно импортируется при выдаче (оба шага можно найти в видеоруководстве).

Экспорт очень прост: щелкните сертификат правой кнопкой мыши и выберите Экспорт. После выбора пароля для защиты PFX-файла он сохраняется на диск.

Импорт нового сертификата и создание PFX

К сожалению, это невозможно. Хранилище сертификатов Windows не позволяет импортировать отдельный закрытый ключ из файла, поэтому в MMC вы не объединяете ключи в PFX, как в OpenSSL. Вы можете импортировать PFX только на веб-сервер IIS, что и в предыдущем случае.

  • Создайте PFX в другом месте (OpenSSL или другим способом), а затем импортируйте сертификат с помощью PFX.
  • Создайте новый запрос CSR на сервере и выполните повторный выпуск сертификата.

Создайте PFX с помощью стороннего приложения

Вы можете создать файл .pfx из отдельных ключей в графической программе, чтобы не использовать OpenSSL в терминале.

Лучшей программой для этой цели является XCA с открытым исходным кодом. В этой интуитивно понятной программе вы можете управлять всеми своими сертификатами и ключами. Основным преимуществом является автоматическое сопоставление соответствующих ключей друг с другом; вам не нужно искать, какой закрытый ключ к какому сертификату принадлежит. Импортировать ключи очень просто, и вы можете экспортировать их во все известные форматы.

(Не)безопасность PFX-файла

Файл PFX всегда защищен паролем, поскольку он содержит закрытый ключ. При создании PFX ответственно подходите к выбору пароля, так как он может защитить вас от неправомерного использования сертификата. Злоумышленник был бы доволен, если бы пароль к украденному PFX-файлу был «12345» — он мог бы сразу начать использовать сертификат все время.

С помощью украденного сертификата подписи кода злоумышленник может подписывать любые файлы от имени вашей компании. Поэтому важно обеспечить безопасность файла PFX или выбрать сертификат Code Signing EV. Сертификат Code Signing EV хранится на токене и его неправомерное использование при краже практически невозможно; если пароль вводится несколько раз, токен блокируется.

Не стесняйтесь обращаться в нашу службу поддержки, чтобы помочь вам выбрать сертификат и задать любые вопросы.

Сожалеем, что вы не нашли здесь нужной информации.

Пожалуйста, помогите нам улучшить эту статью. Напишите нам, что вы ожидали и не узнали.

Если вы сгенерировали закрытый ключ с помощью нашего инструмента Keybot (метод «Автоматически»), вы можете сгенерировать файл PFX непосредственно со страницы состояния сертификата, нажав кнопку «Создать PFX/PEM» (дополнительная информация о Keybot ).

1- Запустите MMC

  • Нажмите Пуск, выберите Выполнить и введите mmc
  • Нажмите Файл и выберите Добавить/удалить оснастку
  • Нажмите Добавить, выберите Сертификаты в списке Автономная оснастка и нажмите Добавить
  • Выберите Учетная запись компьютера и нажмите Далее
  • Выберите Локальный компьютер и нажмите Готово
  • Закройте окно и нажмите "ОК" в верхнем окне.

2- Импорт файла PFX

  • Перейдите к списку личных сертификатов
  • Щелкните правой кнопкой мыши и выберите Все задачи > Импорт
  • С помощью мастера найдите файл .pfx.
  • Введите пароль для открытия файла PFX
  • установите флажок "Отметить этот ключ как экспортируемый"
  • Наконец, выберите автоматическое размещение сертификатов в хранилищах сертификатов в зависимости от типа сертификата.
  • Нажмите Готово
  • Закройте MMC

3.1. Привязка сертификата в IIS 7

  • Перейдите в "Инструменты администрирования", затем в "Диспетчер информационных служб Интернета (IIS)" и выберите веб-сайт в списке слева.
  • На панели действий нажмите «Привязки».
  • Нажмите "Создать".
  • Выберите протокол https
  • Выберите сертификат, который вы импортировали.

3.2. Привязка сертификата в IIS 8

Через веб-интерфейс процесс установки аналогичен IIS7. Также можно сделать ссылку через PowerShell

Значение -SslFlags равно 0 (без SNI) или 1 (с SNI), если вы используете локальное хранилище (в отличие от хранилища в CCS, которое здесь не объясняется).

Вы можете проверить установку с помощью

4- Запустить тест

Проверьте доступ к защищенным страницам вашего веб-сайта с помощью IE 6 и Firefox. IE 7 и Firefox 3 могут отображать сообщение об ошибке, сообщающее, что имена сайтов не совпадают, так как вы выполняете локальный тест.

IIS 8 и IIS 8.5: перенос файлов сертификатов SSL

Ищете более простой способ экспортировать файл SSL-сертификата в виде файла .pfx? Наша утилита сертификатов DigiCert® для Windows работает на всех серверах под управлением Windows.

Фон

Серверы Windows используют файлы .pfx для хранения файла открытого ключа (файл сертификата SSL) и связанного с ним файла закрытого ключа. DigiCert предоставляет файл сертификата SSL (файл открытого ключа). Вы используете свой сервер для создания связанного файла закрытого ключа как части CSR.

Для работы SSL-сертификата вам потребуются как открытый, так и закрытый ключи; поэтому, если вам нужно перенести сертификаты безопасности сервера SSL с одного сервера на другой, вам необходимо создать резервную копию .pfx.

Инструкции на этой странице объясняют, как выполнять следующие задачи:

Создайте резервную копию SSL-сертификата на рабочем сервере.

Импортируйте SSL-сертификат на другой сервер.

Включите SSL-сертификат для использования на новом сервере.

Экспорт/резервное копирование в файл .pfx

Прежде чем вы сможете экспортировать свой SSL-сертификат в виде файла .pfx, вы должны сначала установить файлы SSL-сертификата, которые вы получили от DigiCert, на сервере, сгенерировавшем ваш CSR. Сведения об установке SSL-сертификата см. в разделе Установка сертификата IIS 8 и IIS 8.5.

На начальном экране введите и нажмите «Выполнить».

В окне "Выполнить" в поле "Открыть" введите mmc и нажмите кнопку "ОК".

В окне "Контроль учетных записей пользователей" нажмите "Да", чтобы позволить консоли управления Microsoft вносить изменения в компьютер.

В окне консоли в меню вверху нажмите «Файл» > «Добавить/удалить оснастку».

В окне "Добавить или удалить оснастки" в разделе "Доступные оснастки" (слева) нажмите "Сертификаты", а затем нажмите "Добавить".

В окне оснастки «Сертификаты» выберите «Учетная запись компьютера» и нажмите «Далее».

В окне "Выбор компьютера" выберите "Локальный компьютер:" (компьютер, на котором запущена эта консоль), а затем нажмите "Готово".

В окне "Добавить или удалить оснастки" нажмите "ОК".

В окне "Консоль" в разделе "Корень консоли" разверните "Сертификаты (локальный компьютер)", разверните папку, содержащую сертификат, который вы хотите экспортировать или создать резервную копию, а затем щелкните соответствующую папку "Сертификаты".

Примечание. Ваш сертификат будет находиться либо в папке Personal, либо в папке Web Hosting.

В центральной части щелкните правой кнопкой мыши сертификат, который вы хотите экспортировать или создать резервную копию, а затем выберите Все задачи > Экспорт, чтобы открыть мастер экспорта сертификатов.

На странице "Добро пожаловать в мастер экспорта сертификатов" нажмите "Далее".

На странице "Экспорт закрытого ключа" выберите "Да, экспортировать закрытый ключ" и нажмите "Далее".

На странице "Формат файла экспорта" выберите "Обмен личной информацией", установите флажок "Включить все сертификаты в путь сертификации, если это возможно", а затем нажмите "Далее".

Предупреждение. Не выбирайте Удалить закрытый ключ, если экспорт выполнен успешно.

На странице "Безопасность" установите флажок "Пароль", введите и подтвердите пароль, а затем нажмите "Далее".

На странице "Файл для экспорта" найдите и выберите файл, который нужно экспортировать или создать резервную копию, а затем нажмите "Далее".

Обязательно запишите имя файла и место, где вы его сохранили.
Если вы введете только имя файла без выбора местоположения, ваш файл будет сохранен в следующем местоположении: C:\Windows\System32.

На странице "Завершение работы мастера экспорта сертификатов" проверьте правильность настроек и нажмите "Готово".

Вы должны получить сообщение "Экспорт выполнен успешно".

Файл .pfx теперь сохранен в выбранном вами месте.

Импорт из файла .pfx

На начальном экране введите и нажмите «Выполнить».

В окне "Выполнить" в поле "Открыть" введите mmc и нажмите "ОК".

В окне "Контроль учетных записей пользователей" нажмите "Да", чтобы позволить консоли управления Microsoft вносить изменения в компьютер.

В окне консоли в меню вверху нажмите «Файл» > «Добавить/удалить оснастку».

В окне "Добавить или удалить оснастки" в разделе "Доступные оснастки" (слева) нажмите "Сертификаты", а затем нажмите "Добавить".

В окне оснастки «Сертификаты» выберите «Учетная запись компьютера» и нажмите «Далее».

В окне «Выбор компьютера» выберите «Локальный компьютер»: (компьютер, на котором запущена эта консоль), а затем нажмите «Готово».

В окне "Добавить или удалить оснастки" нажмите "ОК".

В окне консоли в разделе Корень консоли разверните Сертификаты (локальный компьютер).

Щелкните правой кнопкой мыши папку «Личные» и выберите «Все задачи» > «Импорт», чтобы открыть мастер импорта сертификатов.

На странице "Вас приветствует мастер импорта сертификатов" нажмите "Далее".

Следуйте инструкциям мастера импорта сертификатов, чтобы импортировать основной сертификат из файла .pfx.

Примечание. На странице "Хранилище сертификатов" выберите "Автоматически выбирать хранилище сертификатов в зависимости от типа сертификата".

На странице "Завершение работы мастера импорта сертификатов" проверьте свои настройки и нажмите "Готово".

Вы должны получить сообщение "Импорт прошел успешно".

После импорта PFX-файла SSL-сертификата необходимо активировать новый сертификат на сервере.

На начальном экране введите и щелкните Диспетчер информационных служб Интернета (IIS)

В диспетчере информационных служб Интернета (IIS) в разделе "Подключения" разверните имя своего сервера, разверните узел "Сайты", а затем выберите сайт, который вы хотите защитить (обычно это веб-сайт по умолчанию).

В меню "Действия" в разделе "Редактировать сайт" нажмите "Привязки".

В окне "Привязки сайта" нажмите "Добавить".

В окне "Добавить привязку к сайту" введите следующую информацию:

Нажмите "ОК". Теперь ваш SSL-сертификат установлен, и веб-сайт настроен на прием безопасных подключений.

Примечание. Возможно, вам придется перезапустить IIS или сервер, чтобы он распознал новый сертификат.

На начальном экране введите и щелкните Диспетчер информационных служб Интернета (IIS)

В диспетчере информационных служб Интернета (IIS) в разделе "Подключения" разверните имя своего сервера, разверните узел "Сайты", а затем выберите сайт, который вы хотите защитить (обычно это веб-сайт по умолчанию).

В меню "Действия" в разделе "Редактировать сайт" нажмите "Привязки".

В окне "Редактировать привязку к сайту" введите следующую информацию:

IP-адрес: В раскрывающемся списке выберите Все неназначенные. Если ваш сервер имеет несколько IP-адресов, выберите подходящий.
Имя хоста: Если вы используете индикацию имени сервера, введите имя хоста, которое которую вы защищаете.
Требовать указание имени сервера Если вы используете указание имени сервера, установите этот флажок.
Сертификат SSL: В раскрывающемся списке выберите недавно импортированный сертификат SSL по понятному имени.

Теперь ваш SSL-сертификат установлен, и веб-сайт настроен на прием безопасных соединений.

Примечание. Возможно, вам придется перезапустить IIS или сервер, чтобы он распознал новый сертификат.

Экспорт сертификата SSL с сервера Microsoft для импорта на другой сервер Microsoft

Фон

Серверы Windows используют файлы .pfx, содержащие файл открытого ключа (файл сертификата SSL) и связанный с ним файл закрытого ключа. DigiCert предоставляет файл сертификата SSL (файл открытого ключа). Вы используете свой сервер для создания связанного файла закрытого ключа как части CSR.

Для работы SSL-сертификата вам потребуются как открытый, так и закрытый ключи. Итак, если вам нужно перенести свои сертификаты SSL с одного сервера на другой, вам нужно экспортировать их в виде файла .pfx.

Необходимое условие для экспорта

Чтобы создать файл .pfx, сертификат SSL и соответствующий ему закрытый ключ должны находиться на одном компьютере/рабочей станции. Вам может потребоваться импортировать сертификат на компьютер, на котором хранится соответствующий закрытый ключ. (например, ноутбук/настольный компьютер, на котором вы создали CSR), прежде чем вы сможете успешно экспортировать его в виде файла .pfx.

Как экспортировать сертификат SSL с закрытым ключом с помощью утилиты DigiCert Certificate Utility

Эти инструкции объясняют, как экспортировать установленный сертификат SSL с сервера Microsoft и соответствующий ему закрытый ключ в виде файла .pfx для импорта на другой сервер. Если вам нужен сертификат SSL в формате Apache .key, см. раздел Экспорт сертификата SSL Windows на сервер Apache (формат PEM).

На сервере Windows загрузите и сохраните исполняемый файл DigiCert® Certificate Utility для Windows (DigiCertUtil.exe).

Запустите утилиту сертификатов DigiCert® для Windows (дважды щелкните DigiCertUtil).

В утилите сертификатов DigiCert для Windows© нажмите SSL (золотой замок), выберите сертификат, который хотите экспортировать в виде файла .pfx, и нажмите Экспорт сертификата.

В мастере экспорта сертификатов выберите Да, экспортируйте закрытый ключ, выберите PFX-файл, затем установите флажок Включить все сертификаты в путь сертификации, если это возможно, и, наконец, нажмите Далее.

Файл .pfx использует тот же формат, что и файл .p12 или PKCS12.

Примечание. Если параметр Да, экспортировать закрытый ключ неактивен (использовать его нельзя), соответствующий закрытый ключ сертификата отсутствует на этом компьютере. Это не позволит вам создать файл сертификата .pfx. Чтобы решить эту проблему, вам нужно будет импортировать сертификат на тот же компьютер, где был создан CSR сертификата. См. Требования к экспорту.

В полях "Пароль" и "Подтверждение пароля" введите и подтвердите свой пароль, а затем нажмите "Далее".

Примечание. Этот пароль используется при импорте этого SSL-сертификата на другие серверы типа Windows или другие серверы или устройства, которые принимают файл .pfx.

В поле Имя файла нажмите …, чтобы найти и выбрать место и имя файла, в котором вы хотите сохранить файл .pfx, укажите имя файла (например, mySSLCertificate), нажмите Сохранить, а затем нажмите "Готово".

После получения сообщения "Ваш сертификат и ключ успешно экспортированы" нажмите кнопку "ОК".

Импорт сертификата PFX в Microsoft Windows Server и его настройка

Чтобы импортировать сертификат на сервер с помощью утилиты DigiCert Certificate Utility, необходимо следовать инструкциям для этого конкретного типа сервера:

Устранение неполадок

Если после импорта сертификата на новый сервер вы столкнулись с ошибками сертификата, попробуйте исправить ошибки доверия сертификата с помощью DigiCert® Certificate Utility для Windows. Если это не устранит ошибки, обратитесь в службу поддержки.

Читайте также: