Hvordan generere et sertifikat i PFX-format

En PFX er en sikkerhetskopi av den private nøkkelen til et sertifikat fra Internet Explorer. For å generere et sertifikat i PFX-format på serverne Windows og IIS-nettserverne må installere ikke-standardiserte .pfx-sertifikatfilformater.

Etter å ha utstedt sertifikatet du kjøpte, kan du laste ned PEM-filer (.crt, .ca-bundle), som kanskje ikke er tilstrekkelig for installasjon på Windows-hosting. Hvis du tar en kryptert .pfx-fil, lagrer den den private nøkkelen (.key), sertifikatet (.crt) og sertifikatkjeden (.ca-bundle).

Trinn for å generere et sertifikat i PFX-format

Her viser vi deg hva du trenger for å generere et sertifikat i PFX-format. Vi gir deg instruksjoner for disse og andre situasjoner. Du kan lage PFC med OpenSSL, dette er et bibliotek (program) tilgjengelig i alle OS Unix. Hvis du har en server Linux eller du jobber med et Linux-basert program, vil du definitivt finne OpenSSL som et alternativ.

Du kan også gjerne: 8 programmer for å lage personlige diplomer eller sertifikater

• Trinn 1: I OpenSSL må du overføre den separat lagrede nøkkelen til en PFX-fil (PKCS #12). Du kan gjøre dette med følgende kommando: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateekey.key -out output.pfx
• Trinn 2: Etter å ha skrevet inn passordet som sertifikatet er beskyttet med, oppretter det en output.pfx-fil i adresseboken der det ligger.
• Trinn 3: Velg navnet etter forrige kommando.

Trinn for å generere et sertifikat i PFX-format på en Windows-server (server med IIS)

• Trinn 1: Kjøp PFX fra eksisterende sertifikat, på Windows-operativsystemet kan du eksportere et eksisterende sertifikat fra sertifikatlageret som en PFX-fil ved å bruke mmc-konsoll. 
• Trinn 2: Du kan også velge denne prosedyren for en Windows-webserver, hvis IIS plasserer sertifikatene i sertifikatlageret.

IIS-webserveren lar deg eksportere det eksisterende sertifikatet i PFX direkte fra listen over sertifikater på serveren. Den private nøkkelen og CSR-koden genereres under opprettelsen av CSR-forespørselen i IIS og etter utstedelse importeres sertifikatet dit.

Eksportering er veldig enkelt, du må høyreklikke på det tilsvarende sertifikatet og velge Eksportere. Etter å ha skrevet inn passordet som beskytter PFX-filen, Sertifikatet lagres på databæreren.

Kan et nytt sertifikat importeres og en PFX opprettes?

Denne prosedyren er dessverre ikke mulig. Sertifikatlageret på Windows støtter ikke import av den private nøkkelen via en fil, så du kan ikke koble nøklene til PFX i MMC som med OpenSSL. Igjen, du kan bare importere PFX til IIS-webserveren.

Hvis du vil importere et nytt sertifikat på Windows-serveren og den private nøkkelen ikke er på serveren (du opprettet ikke CSR-forespørselen på serveren), kan du fortsette som følger:

• Opprett PFX et annet sted (f.eks. i OpenSSL) og importer deretter sertifikatet med PFX.
• Opprett en ny forespørsel (CSR-forespørsel) på serveren og utsted sertifikatet på nytt.

Gjenutstedelse betyr at sertifikatet vil bli utstedt på nytt gratis og du kan importere det til den eksisterende private nøkkelen. Du kan utføre denne operasjonen selv i kundeadministrasjonen.

Hvordan generere et sertifikat i PFX-format i en tredjepartsapplikasjon?

Du kan lage PFX-filen fra separate nøkler i et grafisk program og dermed unngå bruk av kommandolinjer i OpenSSL. Vi anbefaler åpen kildekode-applikasjonen XCA som det beste programmet for dette formålet. I dette intuitive programmet kan du administrere alle dine sertifikater og nøkler.

Hovedfordelen er den automatiske tilordningen av nøklene til hverandre, du trenger ikke undersøke hvilken privat nøkkel som matcher hvilket sertifikat. Det er enkelt å importere nøkler og det er mulig å eksportere i alle formater.

Kanskje du kanskje er interessert: SKP-filer – Hva de refererer til, egenskaper, hvordan åpne dem

Når kan du trenge PFX?

Det er forskjellige omstendigheter der du kan trenge PFX, og her viser vi deg hvorfor det er viktig:

• Du vil installere sertifikatet på Windows-serveren (i IIS Manager), men CSR-nøkkelen ble ikke opprettet i IIS.
• Du trenger sertifikatet for Windows-serveren, men IIS for å generere CSR er ikke tilgjengelig for deg.
• Du opprettet CSR-nøkkelen i SSL-markedet og lagret den private nøkkelen. Nå vil du bruke sertifikatet på Windows-serveren.
• Du har kjøpt et kodesigneringssertifikat og trenger PFX-filen for å signere.

Er PFX-filen trygg?

PFX-filen er alltid passordbeskyttet fordi den inneholder den private nøkkelen. Når du oppretter filen velger du passordet på en ansvarlig måte, da dette også kan beskytte deg mot misbruk av sertifikatet.

Angriperen ville bare være fornøyd hvis passordet til den stjålne filen var "12345", jo raskere kan du misbruke sertifikatet.

Med et stjålet kodesigneringssertifikat kan angriperen signere hvilken som helst fil med firmanavnet ditt. Derfor er det viktig å oppbevare PFX-filen på et trygt sted eller søke om et EV-kodesigneringssertifikat.

Sertifikatene til Kodesignering EV De er lagret i tokens, og deres misbruk i tilfelle tyveri er praktisk talt umulig: Hvis passordet skrives inn feil flere ganger, vil tokenet bli blokkert.

Hva bør du ta hensyn til for å installere et SSL-sertifikat på et nettsted?

Det første du bør ta i betraktning for å installere et SSL-sertifikat på et nettsted, er at du må ha tre filer: en fil med et sertifikat, en privat nøkkel og en sertifikatkjede. Du har allerede den private nøkkelen, du opprettet den sammen med CSR. Du vil motta resten av filene etter at sertifikatet er utstedt.

Sertifikatfilen vil ha en .CRT-utvidelse og sertifikatkjedefilen vil ha en .CA-BUNDLE-utvidelse. Hvis du åpner en av filene i et tekstredigeringsprogram, begynner teksten med ordene «BEGIN CERTIFICATE».

Generering av et sertifikat i PFX-format er veldig nyttig fordi det er den private nøkkelen sikkerhetskopi av et sertifikat (eksportert fra Internet Explorer).

PFX-utvidelsen brukes på Windows-servere for filer som har både dine offentlige nøkkelfiler (dine SSL-sertifikatfiler, levert av DigiCert) og din private nøkkel som tilsvarer sertifikatene dine (generert av serveren når CSR opprettes). .