Pfx файл сертификата как установить
На серверы с операционной системой Windows и на их веб-серверы IIS необходимо устанавливать нестандартные форматы файлов сертификата - .pfx. После выпуска сертификата, приобретенного у нас, вам доступны для скачивания файлы в формате PEM (.crt, .ca-bundle), которых может быть недостаточно для установки на Windows хостинг.
Если взять один зашифрованный файл формата .pfx, в нем хранятся сразу и приватный ключ (.key), и сертификат (.crt), и цепочка сертификатов (.ca-bundle).
Мы расскажем, как из файлов SSL-сертификата получить файлы в формате .pfx.
Попасть в SSL-панель можно из Панели клиента на нашем сайте. Перейдите в раздел Мои услуги, нажмите кнопку Детали возле сертификата.
Далее в разделе Панель управления - кнопка Открыть.
В архиве вам необходимы:
- файл сертификата с расширением .crt
- промежуточные сертификаты (.ca-bundle), или “цепочка сертификатов”
2. Найти приватный ключ .KEY
При генерации CSR-запроса на Windows сервере, вместе с ним был сгенерирован и сохранен на сервере приватный ключ RSA (.key). Найдите данный файл на сервере. Это необходимо для следующего шага.
3. Объединить файлы .CRT, .KEY и .CA-BUNDLE
Для того, чтобы это сделать, установите на ваш компьютер программу openssl.exe.
Откройте данную утилиту и введите команду:
pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -certfile domain.name.ca-bundle
domain.key — имя файла с приватным ключом RSA;
domain.crt — имя файла сертификата;
domain.ca-bundle — имя файла цепочки сертификатов.
Если конвертация прошла успешно, вы увидите слово Verifying.
В случае, когда вариант, представленный выше не подходит, вы можете найти много вариантов конвертации с помощью online-сервисов в интернете. Некоторые из таких вариантов мы собрали ниже:
4. Установить сертификат на ваш веб-сервер IIS
Вы можете установить SSL-сертификат, руководствуясь нашими инструкциями:
Наша служба поддержки ответит и поможет вам в любое время в чате, если возникнут вопросы.
1. Скопируйте на целевой компьютер файл с расширением PFX, полученный экспортом электронной подписи. Откройте файл (установите на него курсор и дважды щелкните мышью или нажмите Enter) и следуйте инструкции установщика, ориентируясь на скриншоты ниже:
3a. Если при экспорте файл был защищен паролем, введите пароль:
3b. Если подразумевается, что может потребоваться импортировать с вашего компьютера ЭП на другие рабочие места, укажите эту опцию:
5. Нужно указать место, куда импортируется закрытый контейнер ЭП. На выбор предлагаются токены, флешки и реестр. Рекомендуется использовать реестр, в этом случае не потребуется никаких дополнительных устройств.
7. Придумайте и введите пароль два раза. Сделайте всё, чтобы он не был утерян, т.к. восстановление пароля будет проблематично.
8. Введите пароль из пункта 7 ещё раз и поставьте галочку «Запомнить пароль»:
Узнайте, как создать профиль сертификата путем импорта учетных данных из внешних сертификатов. В этой статье освещаются конкретные сведения о профилях сертификатов обмена персональными данными (PFX). Дополнительные сведения о создании и настройке этих профилей см. в профилей сертификатов.
Configuration Manager поддерживает различные типы магазинов сертификатов для различных устройств и версий ОС. Например, Windows 10 и Windows 10 Mobile. Дополнительные сведения см. в предпосылок профилей сертификатов.
Используйте Диспетчер конфигурации для импорта учетных данных сертификатов, а затем предоставления файлов PFX на устройства. Эти файлы можно использовать для создания пользовательских сертификатов для поддержки зашифрованного обмена данными.
Пошаговая прогулка по этому процессу см. в блоге "Создание и развертывание профилей сертификатов PFX в диспетчере конфигурации".
Создание профиля
В консоли Configuration Manager перейдите в рабочее пространство Assets and Compliance, расширьте требования Параметры, расширьте доступ к ресурсам компании, а затем выберите профили сертификатов.
На вкладке Главная лента в группе Create выберите Создать профиль сертификата.
На общей странице мастера профилей сертификатов укажите следующие сведения:
Имя. Введите уникальное имя для профиля сертификата. Можно использовать не более 256 символов.
Описание. В описании представлен обзор профиля сертификата, который помогает идентифицировать его в консоли Configuration Manager. Можно использовать не более 256 символов.
Параметр Create запрашивает сертификат от имени пользователя из подключенного локального органа сертификата (CA). Этот процесс обеспечивает надежную доставку сертификата клиентам в качестве файлов PFX. Дополнительные сведения см. в справке Create PFX certificate profiles using a certificate authority.
На странице сертификата PFX мастера создания профилей сертификатов укажите поставщика хранения ключей устройства (KSP):
- Установка в доверенный модуль платформы (TPM) при его настоящем
- Установка в доверенный модуль платформы (TPM) в противном случае не удается
- Установка Windows Hello для бизнеса в противном случае не удается
- Установка в поставщике ключа служба хранилища программного обеспечения
На странице Поддерживаемые платформы выберите поддерживаемые платформы устройств.
Завершите работу мастера.
Развертывание профиля
После создания и предоставления профиля сертификата он теперь доступен в узле Профилей сертификатов. Дополнительные сведения о его развертывании см. в странице Развертывание профилей доступа к ресурсам.
Назначение основных пользователей
Назначьте целевых пользователей в качестве основных пользователей на Windows 10 устройствах, где необходимо установить сертификаты PFX. Дополнительные сведения см. в сродствоустройств пользователя.
Подготовка сценария создания PFX
Чтобы импортировать сертификат PFX, используйте следующие команды диспетчера конфигурации PowerShell для предоставления скрипта Create PFX:
Сценарий примера
Чтобы открыть файл PFX для профиля сертификата для пользователя, откройте PowerShell на компьютере с консолью Configuration Manager. Измените переменные значениями из среды.
Для чего нужно преобразование сертификатов
Тут ответ, очень простой, все дело в формате работы с ними у каждой программы, будь то IIS или же Apache сервер. Более подробно про виды сертификатов и их назначение, я вам посоветую прочитать вот эту статью.
Давайте я подробнее покажу как выглядит ошибка импортирования сертификата. Во первых когда вы получаете от comodo ваш архив с сертификатами, то там будет два файла:
- с расширением .ca-bundle
- с расширением .crt
Попытавшись на сервере IIS произвести их импорт вы увидите вот такую картинку.
И тут нет ничего удивительного, так как это не pfx архив, то в нем нет нужного приватного ключа. Для его получения придется слегка постараться.
Как получить PFX ключ на IIS
нажимаем сочетание клавиш WIN+R и вводим mmc, для вызова оснастки. Я вам уже рассказывал о ее применении и удобстве для системного администратора.
Далее вам необходимо через меню "Файл" добавить новую оснастку.
Находим сертификаты и нажимаем кнопку "Добавить"
В следующем окне выбираем "для учетной записи компьютера"
подтверждаем, что нас интересует локальный компьютер.
Далее находим пункт "Запросы заявок на сертификат", тут вы обнаружите ваш запрос, находите его и через правый клик экспортируете его.
У вас откроется мастер экспорта сертификатов
Далее вы выбираете "Да, экспортировать закрытый ключ"
Ставим галку "Включить по возможности все сертификаты в путь сертификации" и начинаем наш экспорт PFX архива.
Теперь мастер экспорта, просит вас указать два раза нужный вам пароль, для защиты pfx архива.
Через кнопку обзор, указываем место сохранения вашего файла.
Как видим, все успешно выгружено.
Установка OpenSSL для Windows
Теперь нам необходимо наш файл pfx переделать в pem, Pem преобразовать в key:
- с расширением .ca-bundle
- с расширением .crt
- key
Вы получите из этих трех файлов, нужный для импорта pfx архив. Во всем этом нам поможет утилита OpenSSL для Windows.
В итоге у вас будет архив, распакуйте его куда вам будет угодно. Далее выберите вашу папку, зажмите SHIFT и щелкните по ней правым кликом, в открывшемся контекстном меню, выберите пункт "Открыть окно команд".
В результате чего у вас откроется командная строка Windows, но уже в нужной папке содержащей утилиту openssl.exe, она нам и поможет все сделать красиво.
Преобразование PFX в PEM
Теперь приступаем к получению фала в формате Pem. Положите в папку с дистрибутивом файл в формате pfx.
openssl.exe pkcs12 -in "имя вашего pfx файла" -nocerts -out key.pemopenssl.exe pkcs12 -in api.pyatilistnik.ru.pfx" -nocerts -out key.pem
Вас попросят указать пароль от Pfx архива, вы его задавали при экспорте, после чего нужно придумать пароль на pem файл.
В папке с дистрибутивом OpenSSL вы обнаружите файл key.pem, он нам нужен будет для следующего этапа.
Преобразование PEM в KEY
Теперь получим файл с расширением key, для этого есть вот такая команда:
Вас попросят указать пароль от pem ключа.
В итоге я получил закрытый ключ в формате key.
Осталась финишная прямая.
Получаем PFX ключ для импорта в IIS
Теперь когда у вас есть все составляющие, вы можете выполнить последнюю команду для создания PFX файла для IIS сервера.
openssl pkcs12 -export -out doman_com.pfx -inkey doman_com.key -in doman_com.crt -certfile doman_com.ca-bundleЗадаем пароль для pfx файла, потребуется при импортировании.
В итоге вы получаете нужный вам файл, который можно загружать на ваш почтовый сервер.
Что делать если нет сертификата в запросах заявок на сертификат
Бывают ситуации, что на вашем сервере по каким-то причинам, в папке запросы на сертификат, может не оказаться вашего, в этом случае вам необходимо будет перейти в этой же mmc в раздел "Личное-Сертификаты". Выбираем нужный и делаем экспорт.
Появится мастер экспорта сертификатов.
Обратите внимание, что в pfx выгрузить не получится, но это не страшно, нам подойдет и p7b, но с включенной галкой "Включить по возможности все сертификаты в путь сертификации"
Указываем путь сохраняемого файла.
Видим, что все успешно выполнено.
Преобразование p7b в pem
Попробует такое преобразование.
openssl pkcs7 -in cert.p7b -inform DER -print_certs -out cert.pem
Ну, а дальше уже по инструкции сверху. Если у вас выскочит ошибка, по типу
То наш вариант это .crt в .der и уже .der в .pem
Преобразование CRT в PEM
Кладем так же все в одну папку, файл crt вам должны были прислать вместе с ca-bundle.
Читайте также: