Как создать файл сертификата PFX

Обновлено: 02.07.2024

Узнайте, как создать профиль сертификата, использующий центр сертификации для учетных данных. В этой статье приводятся конкретные сведения о профилях сертификатов обмена личной информацией (PFX). Дополнительные сведения о создании и настройке этих профилей см. в разделе Профили сертификатов.

Диспетчер конфигураций позволяет создать профиль сертификата PFX, используя учетные данные, выданные центром сертификации. Вы можете выбрать Microsoft или Entrust в качестве центра сертификации. При развертывании на пользовательских устройствах файлы PFX генерируют пользовательские сертификаты для поддержки зашифрованного обмена данными.

Чтобы импортировать учетные данные сертификата из существующих файлов сертификатов, см. раздел Импорт профилей сертификатов PFX.

Предпосылки

Прежде чем приступить к созданию профиля сертификата, убедитесь, что выполнены все необходимые предварительные условия. Дополнительные сведения см. в разделе Предварительные требования для профилей сертификатов. Например, для профилей сертификатов PFX вам потребуется роль системы сайта точки регистрации сертификатов.

Создать профиль

В консоли Configuration Manager перейдите в рабочую область «Активы и соответствие», разверните «Параметры соответствия», разверните «Доступ к ресурсам компании» и выберите «Профили сертификатов».

На вкладке "Главная" ленты в группе "Создать" выберите "Создать профиль сертификата".

На странице "Общие" мастера создания профиля сертификата укажите следующую информацию:

Имя: введите уникальное имя для профиля сертификата. Вы можете использовать не более 256 символов.

Описание. Укажите описание, которое дает обзор профиля сертификата, помогающего идентифицировать его в консоли Configuration Manager. Вы можете использовать не более 256 символов.

Вариант импорта позволяет получить информацию из существующего сертификата для создания профиля сертификата. Дополнительные сведения см. в разделе Импорт профилей сертификатов PFX.

На странице Поддерживаемые платформы выберите версии ОС, которые поддерживает этот профиль сертификата. Дополнительные сведения о поддерживаемых версиях ОС для вашей версии Configuration Manager см. в разделе Поддерживаемые версии ОС для клиентов и устройств.

На странице Центры сертификации выберите точку регистрации сертификатов (CRP) для обработки сертификатов PFX:

Основной сайт: выберите сервер, содержащий роль CRP для центра сертификации.
Центры сертификации: выберите соответствующий ЦС.

Параметры на странице сертификата PFX различаются в зависимости от ЦС, выбранного на странице "Общие":

Настройка параметров сертификата PFX для ЦС Microsoft

В качестве имени шаблона сертификата выберите шаблон сертификата.

Чтобы использовать профиль сертификата для подписи или шифрования S/MIME, включите использование сертификата.

Когда вы включаете этот параметр, он доставляет все сертификаты PFX, связанные с целевым пользователем, на все его устройства. Если вы не включите этот параметр, каждое устройство получит уникальный сертификат.

Задайте для формата имени субъекта значение Обычное имя или Полностью отличительное имя. Если вы не знаете, какой из них использовать, обратитесь к администратору ЦС.

Для альтернативного имени субъекта включите адрес электронной почты и основное имя пользователя (UPN), соответствующие вашему ЦС.

Порог продления: определяет, когда сертификаты автоматически обновляются, исходя из процента времени, оставшегося до истечения срока действия.

Установите срок действия сертификата равным сроку действия сертификата.

Когда точка регистрации сертификата указывает учетные данные Active Directory, включите публикацию Active Directory.

Если вы выбрали одну или несколько поддерживаемых платформ Windows 10:

Установите для хранилища сертификатов Windows значение Пользователь. (Вариант «Локальный компьютер» не развертывает сертификаты, не выбирайте его.)

Выберите одного из следующих поставщиков хранилища ключей (KSP):

Установить в доверенный платформенный модуль (TPM), если он есть.
Установка в доверенный платформенный модуль (TPM), иначе произойдет сбой
Установить в Windows Hello для бизнеса, иначе произойдет сбой
Установить в поставщике хранилища ключей программного обеспечения

Завершите работу мастера.

Настройка параметров сертификата PFX для Entrust CA

Для конфигурации цифрового удостоверения выберите профиль конфигурации. Администратор Entrust создает параметры конфигурации цифрового удостоверения.

Чтобы использовать профиль сертификата для подписи или шифрования S/MIME, включите использование сертификата.

Чтобы сопоставить токены формата имени субъекта Entrust с полями Configuration Manager, выберите Формат.

В диалоговом окне «Форматирование имени сертификата» перечислены переменные конфигурации Entrust Digital ID. Для каждой переменной Entrust выберите соответствующие поля Configuration Manager.

Чтобы сопоставить токены Entrust Subject Alternative Name с поддерживаемыми переменными LDAP, выберите Формат.

В диалоговом окне «Форматирование имени сертификата» перечислены переменные конфигурации Entrust Digital ID. Для каждой переменной Entrust выберите соответствующую переменную LDAP.

Установите срок действия сертификата равным сроку действия сертификата.

Когда точка регистрации сертификата указывает учетные данные Active Directory, включите публикацию Active Directory.

Если вы выбрали одну или несколько поддерживаемых платформ Windows 10:

Выберите одного из следующих поставщиков хранилища ключей (KSP):

Установить в доверенный платформенный модуль (TPM), если он есть.
Установка в доверенный платформенный модуль (TPM), иначе произойдет сбой
Установить в Windows Hello для бизнеса, иначе произойдет сбой
Установить в поставщике хранилища ключей программного обеспечения

Завершите работу мастера.

Развернуть профиль

После создания профиля сертификата он теперь доступен в узле "Профили сертификатов". Дополнительные сведения о его развертывании см. в разделе Развертывание профилей доступа к ресурсам.

SSLmarket не позволяет загружать закрытый ключ из администрации, так как это потребовало бы хранения закрытого ключа в нашей системе. Мы никогда этого не сделаем.

Вы можете создать закрытый ключ вместе с CSR, но вы должны сохранить его самостоятельно (для последующей установки сертификата). Ваш браузер автоматически предложит загрузить закрытый ключ.

Когда вам нужно создать PFX? Наиболее распространенные сценарии

Вы установите сертификат на Windows Server (IIS), но запрос CSR не был создан в IIS.
Вам нужен сертификат для Windows Server, но у вас нет IIS для создания CSR.
Вы создали CSR в SSLmarket и сохранили свой закрытый ключ. Теперь вам нужно развернуть сертификат на Windows Server.
У вас есть сертификат подписи кода, и для подписи вам нужен PFX.

Вот руководство для этих (и других) ситуаций.

Создание PFX с использованием OpenSSL

OpenSSL — это библиотека (программа), доступная в любой операционной системе Unix. Если у вас есть Linux-сервер или вы работаете на Linux, то OpenSSL точно есть среди доступных программ (в репозитории).

Когда вы вводите пароль, защищающий сертификат, файл output.pfx будет создан в каталоге (где вы находитесь).

Создание PFX в Windows (сервер с IIS)

Создать PFX из существующего сертификата

В операционной системе Windows существующий сертификат можно экспортировать из хранилища сертификатов в виде PFX-файла с помощью MMC. Вы также можете сделать это на сервере Windows, если IIS хранит их в хранилище сертификатов.

Веб-сервер IIS позволяет экспортировать существующий сертификат в PFX непосредственно из хранилища сертификатов сервера. Закрытый ключ и CSR создаются во время создания запроса CSR в IIS, а сертификат повторно импортируется при выдаче (оба шага можно найти в видеоруководстве).

Экспорт очень прост: щелкните сертификат правой кнопкой мыши и выберите Экспорт. После выбора пароля для защиты PFX-файла он сохраняется на диск.

Импорт нового сертификата и создание PFX

К сожалению, это невозможно. Хранилище сертификатов Windows не позволяет импортировать отдельный закрытый ключ из файла, поэтому в MMC вы не объединяете ключи в PFX, как в OpenSSL. Вы можете импортировать PFX только на веб-сервер IIS, что и в предыдущем случае.

Создайте PFX в другом месте (OpenSSL или другим способом), а затем импортируйте сертификат с помощью PFX.
Создайте новый запрос CSR на сервере и выполните повторный выпуск сертификата.

Создайте PFX с помощью стороннего приложения

Вы можете создать файл .pfx из отдельных ключей в графической программе, чтобы не использовать OpenSSL в терминале.

Лучшей программой для этой цели является XCA с открытым исходным кодом. В этой интуитивно понятной программе вы можете управлять всеми своими сертификатами и ключами. Основным преимуществом является автоматическое сопоставление соответствующих ключей друг с другом; вам не нужно искать, какой закрытый ключ к какому сертификату принадлежит. Импортировать ключи очень просто, и вы можете экспортировать их во все известные форматы.

< бр />

(Не)безопасность PFX-файла

Файл PFX всегда защищен паролем, поскольку он содержит закрытый ключ.При создании PFX ответственно подходите к выбору пароля, так как он может защитить вас от неправомерного использования сертификата. Злоумышленник был бы доволен, если бы пароль к украденному PFX-файлу был «12345» — он мог бы сразу начать использовать сертификат все время.

С помощью украденного сертификата подписи кода злоумышленник может подписывать любые файлы от имени вашей компании. Поэтому важно обеспечить безопасность файла PFX или выбрать сертификат Code Signing EV. Сертификат Code Signing EV хранится на токене и его неправомерное использование при краже практически невозможно; если пароль вводится несколько раз, токен блокируется.

Не стесняйтесь обращаться в нашу службу поддержки, чтобы помочь вам выбрать сертификат и задать любые вопросы.

Сожалеем, что вы не нашли здесь нужной информации.

Пожалуйста, помогите нам улучшить эту статью. Напишите нам, что вы ожидали и не узнали.

У меня есть два отдельных файла: сертификат (.cer или pem) и закрытый ключ (.crt), но IIS принимает только файлы .pfx.

Я, очевидно, установил сертификат, и он доступен в диспетчере сертификатов (mmc), но когда я выбираю мастер экспорта сертификатов, я не могу выбрать формат PFX (он неактивен)

Openssl совершенно не нужен почти во всех случаях. Просто добавил свой ответ (для которого я создаю запись в блоге). Ирония заключается в том, что при создании CSR, как предполагалось, вам, скорее всего, даже не понадобится PFX.

16 ответов 16

Вам потребуется использовать openssl.

Файл ключа — это просто текстовый файл с вашим закрытым ключом.

Если у вас есть корневой ЦС и промежуточные сертификаты, включите и их, используя несколько параметров -in

Если у вас есть связанный файл crt, который вы используете, например, с nginx, вы можете передать его вместе с сертификатом:

Спасибо, я также добавлю, что если у вас есть корневой ЦС или промежуточный сертификат, вы можете добавить его, указав несколько параметров -in: openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in домен.имя.crt -в промежуточном.crt -в rootca.crt

Сделал работу за меня. Небольшое примечание: запуск этого на компьютере с Windows требует запуска openssl в командной строке администратора.

Откуда вы получаете файл ключа? Я получил SSL-сертификат, но нигде не вижу ключевого файла. Только что получил файл p7b и кучу файлов *.crt.

Чтобы заставить это работать на openssl 1.0.2m, мне пришлось указать -certfile Intermediate.crt -certfile rootca.crt, прежде чем мне было предложено защитить .pfx с помощью парольной фразы/пароля. Я полагаю, что это, возможно, связано с тем, что ключ .key не соответствует дополнительным файлам -in, что приводит к сообщению об ошибке «Сертификат не соответствует закрытому ключу», которое я получаю.

Если вам нужен графический интерфейс Windows, обратите внимание на DigiCert. Я просто использовал это, и это было довольно просто.

На вкладке SSL я сначала импортировал сертификат. Затем, выбрав сертификат, я смог экспортировать его в формате PFX как с файлом ключа, так и без него.

@NielsBrinch Когда я это делаю, мне также сообщается, что закрытый ключ не импортирован на мой компьютер. Ожидайте, что это ложь, она находится в той же папке, что и сертификат.

@NielsBrinch Чтобы решить эту проблему, мне пришлось повторно отправить новый CSR, а затем снова загрузить сертификат, когда он был обработан, закрытый ключ был скрыт на сервере/машине, на которой вы создали CSR. Это решило это сообщение об ошибке.

Не забудьте включить закрытый ключ в корневой каталог исполняемого файла DigiCertUtil.exe. Проще всего просто скопировать его в папку с сертификатом.

Похоже, утилита командной строки Microsoft Pvk2Pfx обладает необходимой вам функциональностью:

Вам НЕ нужны openssl, makecert или что-то подобное. Вам также не нужен персональный ключ, предоставленный вам центром сертификации. Я могу почти гарантировать, что проблема заключается в том, что вы ожидаете использовать ключ и файлы cer, предоставленные вашим ЦС, но они не основаны на «способе IIS». Я так устал видеть здесь плохую и сложную информацию, что решил написать в блоге тему и решение. Когда ты поймешь, что происходит и увидишь, как это легко, тебе захочется меня обнять :)

Следующие инструкции обычно применимы только в том случае, если у вас уже есть закрытый ключ, сертификат SSL и сертификат промежуточного центра сертификации.

Файлы PFX и служба Windows Internet Information Service 7 (IIS)

Файл PKCS12 (PFX) – это специально отформатированный файл, который включает сертификат SSL, закрытый ключ и, при необходимости, любые необходимые сертификаты промежуточного центра сертификации. Файл имеет расширение .PFX и совместим с Windows Internet Information Service (IIS).

Файл PKCS12 (PFX) будет сжат и сохранен в виде ZIP-файла. Перед импортом обязательно разархивируйте его. PFX-файл (PKCS12) должен включать все необходимые компоненты (сертификат SSL, закрытый ключ и все необходимые сертификаты промежуточного центра сертификации).

Как импортировать файл PKCS12 (PFX) в Microsoft IIS 7

Импорт PFX-файла (PKCS12) в Microsoft IIS обычно представляет собой простой процесс. Ознакомьтесь с приведенными ниже инструкциями или следуйте инструкциям, предоставленным Microsoft, обратитесь к документации по вашему серверу или обратитесь к поставщику сервера.

Шаг 1. Нажмите "Пуск" и выберите "Выполнить".

Шаг 2. В диалоговом окне «Выполнить» введите «MMC» и нажмите «ОК». После этого должна появиться MMC.

Шаг 3. Перейдите на вкладку или меню "Файл" и выберите "Добавить/удалить оснастку".

Шаг 4. Нажмите "Сертификаты" и нажмите "Добавить".

Шаг 5. Выберите «Учетная запись компьютера» и нажмите «Далее».

Шаг 6. Выберите "Локальный компьютер" и нажмите "Готово".

Шаг 7. Нажмите "ОК", чтобы закрыть окно "Добавить/удалить оснастку".

Шаг 8. Дважды щелкните "Сертификаты (локальный компьютер)" в центральном окне.

Шаг 9. Щелкните правой кнопкой мыши папку "Персональное хранилище сертификатов".

Шаг 10. Выберите «ВСЕ ЗАДАЧИ», затем выберите «Импорт».

Шаг 11. Следуйте указаниям «Мастера импорта сертификатов», чтобы импортировать «основной сертификат» из файла .PFX.

Шаг 12. Перейдите к файлу .PFX и введите соответствующий пароль при появлении запроса.

Шаг 13. При желании установите флажок «Пометить этот ключ как экспортируемый». Мы рекомендуем выбрать этот вариант.

Шаг 14. При появлении запроса выберите автоматическое размещение сертификатов в хранилищах сертификатов в зависимости от типа сертификата.

Шаг 15. Нажмите "Готово", чтобы закрыть мастер импорта сертификатов.

Шаг 16. Закройте консоль MMC. Нет необходимости сохранять какие-либо изменения, внесенные вами в консоль MMC.

Сертификат SSL, закрытый ключ и любые промежуточные сертификаты теперь должны быть импортированы на ваш сервер. Теперь вы должны следовать приведенным ниже инструкциям, чтобы привязать свой SSL-сертификат к профилю веб-сайта.

Как привязать SSL-сертификат в Microsoft IIS 7

После импорта SSL-сертификата важно привязать SSL-сертификат к вашему веб-сайту, чтобы веб-сайт работал правильно. Ваш SSL-сертификат не будет работать, пока не будут выполнены следующие шаги.

Шаг 1. Нажмите "Пуск", "Инструменты администрирования", а затем выберите "Диспетчер информационных служб Интернета (IIS)".

Шаг 2. Нажмите на имя сервера и разверните папку "Сайты".

Шаг 3. Найдите свой веб-сайт (обычно он называется «Веб-сайт по умолчанию») и нажмите на него.

Шаг 4. В меню "Действия" (справа) нажмите "Привязки к сайту" или что-то подобное.

Шаг 5. В окне "Привязки сайта" нажмите "Добавить" или аналогичное. Откроется окно «Добавить привязку к сайту».

Шаг 6. В разделе "Тип" выберите https. IP-адрес должен быть соответствующим выделенным IP-адресом сайта или «Все неназначенные». «Порт», трафик которого будет защищен с помощью SSL, обычно равен 443. В поле «Сертификат SSL» должен быть указан сертификат SSL, который был установлен во время процесса импорта, описанного выше.

Шаг 7. Нажмите "ОК".

Шаг 8. Теперь ваш SSL-сертификат должен быть установлен и правильно работать с вашим веб-сайтом. Иногда может потребоваться перезапуск IIS, прежде чем будет распознан новый SSL-сертификат.

100% гарантия качества

Продукты, которые мы предлагаем, отличаются надежностью, высоким качеством и конкурентоспособными ценами. Trustico® включает гарантию возврата средств без риска для наших продуктов с сертификатами SSL. В течение тридцати дней с момента заказа Клиент может запросить отмену и полный возврат средств за сертификат SSL, соответствующий требованиям Клиента, по любой причине. Наша гарантия возврата

Читайте также: