PFX je záložní kopie soukromého klíče certifikátu z Internet Exploreru. Pro vygenerování certifikátu ve formátu PFX servery Windows a vaše webové servery IIS musí nainstalovat nestandardní formáty souborů certifikátů .pfx.
Po vystavení vámi zakoupeného certifikátu si můžete stáhnout PEM soubory (.crt, .ca-bundle), které pro instalaci na Windows hosting nemusí stačit. Pokud vezmete zašifrovaný soubor .pfx, uloží soukromý klíč (.key), certifikát (.crt) a řetězec certifikátů (.ca-bundle).
Kroky k vygenerování certifikátu ve formátu PFX
Zde vám ukážeme, co potřebujete k vygenerování certifikátu ve formátu PFX. Pro tyto a další situace vám přinášíme návod. PFC můžete vytvořit s OpenSSL, to je knihovna (program) dostupná ve všech OS Unix. Pokud máte server Linux nebo pracujete na programu založeném na Linuxu, určitě najdete OpenSSL jako možnost.
Také by vás mohlo zajímat: 8 programů pro vytváření personalizovaných diplomů nebo certifikátů
- Krok 1: V OpenSSL musíte přenést samostatně uložený klíč do souboru PFX (PKCS #12). Můžete to udělat pomocí následujícího příkazu: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateekey.key -out output.pfx
- Krok 2: Po zadání hesla, kterým je certifikát chráněn, vytvoří v adresáři, ve kterém se nachází, soubor output.pfx.
- Krok 3: Vyberte název po předchozím příkazu.
Postup vygenerování certifikátu ve formátu PFX na serveru Windows (server s IIS)
- Krok 1: Nákup PFX ze stávajícího certifikátu, v operačním systému Windows můžete exportovat existující certifikát z úložiště certifikátů jako soubor PFX pomocí konzole mmc.
- Krok 2: Tento postup můžete zvolit také v případě webového serveru Windows, pokud IIS umístí certifikáty do úložiště certifikátů.
Webový server IIS umožňuje exportovat stávající certifikát v PFX přímo ze seznamu certifikátů na serveru. Soukromý klíč a CSR kód jsou generovány při vytváření CSR požadavku v IIS a po vystavení je tam certifikát importován.
Export je velmi snadný, musíte kliknout pravým tlačítkem myši na příslušný certifikát a vybrat Export. Po zadání hesla, které chrání soubor PFX, Certifikát je uložen na datovém nosiči.
Lze importovat nový certifikát a vytvořit PFX?
Bohužel tento postup není možný. Úložiště certifikátů ve Windows nepodporuje import soukromého klíče prostřednictvím souboru, takže klíče nemůžete zapojit do PFX v MMC jako u OpenSSL. Opět můžete importovat pouze PFX na webový server IIS.
Pokud chcete importovat nový certifikát na server Windows a soukromý klíč není na serveru (nevytvořili jste požadavek CSR na serveru), můžete postupovat následovně:
- Vytvořte PFX někde jinde (např. v OpenSSL) a poté importujte certifikát pomocí PFX.
- Vytvořte nový požadavek (žádost CSR) na serveru a znovu vystavte certifikát.
Reissue znamená, že certifikát bude znovu vydán zdarma a můžete jej importovat do stávajícího soukromého klíče. Tuto operaci můžete provést sami v zákaznické administraci.
Jak vygenerovat certifikát ve formátu PFX v aplikaci třetí strany?
Soubor PFX můžete vytvořit ze samostatných klíčů v grafickém programu a vyhnout se tak použití příkazových řádků v OpenSSL. Jako nejlepší program pro tento účel doporučujeme open source aplikaci XCA. V tomto intuitivním programu můžete spravovat všechny své certifikáty a klíče.
Hlavní výhodou je automatické mapování klíčů na sebe, nemusíte zkoumat, který soukromý klíč se shoduje s kterým certifikátem. Import klíčů je snadný a je možné jej exportovat ve všech formátech.
Možná by vás mohlo zajímat: Soubory SKP – na co odkazují, vlastnosti, jak je otevřít
Kdy můžete PFX potřebovat?
Existují různé okolnosti, za kterých můžete PFX potřebovat, a zde vám ukážeme, proč je to důležité:
- Chcete nainstalovat certifikát na server Windows (ve Správci služby IIS), ale klíč CSR nebyl vytvořen ve službě IIS.
- Potřebujete certifikát pro server Windows, ale služba IIS pro generování CSR vám není k dispozici.
- Vytvořili jste klíč CSR na trhu SSL a uložili soukromý klíč. Nyní chcete certifikát použít na serveru Windows.
- Zakoupili jste certifikát pro podepisování kódu a potřebujete k podpisu soubor PFX.
Je soubor PFX bezpečný?
Soubor PFX je vždy chráněn heslem protože obsahuje soukromý klíč. Při vytváření souboru si zodpovědně volíte heslo, protože i to vás může ochránit před zneužitím certifikátu.
Útočník by byl spokojen pouze v případě, že by heslo odcizeného souboru bylo „12345“, tím rychleji byste mohli certifikát zneužít.
Pomocí odcizeného certifikátu pro podpis kódu může útočník podepsat jakýkoli soubor s názvem vaší společnosti. Proto je důležité uchovávat soubor PFX na bezpečném místě nebo požádat o certifikát EV code signing certificate.
Certifikáty z Podepisování kódu EV Jsou uloženy v tokenech a jejich zneužití v případě krádeže je prakticky nemožné: při vícenásobném nesprávném zadání hesla dojde k zablokování tokenu.
Co byste měli vzít v úvahu při instalaci certifikátu SSL na web?
První věc, kterou byste měli vzít v úvahu při instalaci certifikátu SSL na web, je, že musíte mít tři soubory: soubor s certifikátem, soukromý klíč a řetězec certifikátů. Soukromý klíč již máte, vytvořili jste jej společně s CSR. Zbytek souborů obdržíte po vydání certifikátu.
Soubor certifikátu bude mít příponu .CRT a soubor řetězce certifikátů bude mít příponu .CA-BUNDLE. Pokud některý ze souborů otevřete v textovém editoru, text začíná slovy "ZAČÁTEK CERTIFIKÁTU."
Generování certifikátu ve formátu PFX je velmi užitečné, protože se jedná o záložní kopii soukromého klíče certifikátu (exportovaného z Internet Exploreru).
Rozšíření PFX se používá na serverech Windows pro soubory, které mají jak soubory vašeho veřejného klíče (soubory vašich certifikátů SSL, které poskytuje DigiCert), tak váš soukromý klíč, který odpovídá vašim certifikátům (vygenerovaným serverem při vytvoření CSR). .
Jmenuji se Javier Chirinos a jsem nadšený technologií. Co si pamatuji, měl jsem rád počítače a videohry a tento koníček skončil v zaměstnání.
Již více než 15 let publikuji o technice a vychytávkách na internetu, zejména v mundobytes.com
Jsem také odborníkem na online komunikaci a marketing a mám znalosti o vývoji WordPressu.