Как создать файл.pfx из сертификата и закрытого ключа?

Question

Как создать файл.pfx из сертификата и закрытого ключа?

Мне нужен файл.pfx для установки https на веб-сайте IIS.

У меня есть два отдельных файла: сертификат (.cer или pem) и закрытый ключ (.crt), но IIS принимает только файлы.pfx.

Я, очевидно, установил сертификат, и он доступен в диспетчере сертификатов (mmc), но когда я выбираю Мастер экспорта сертификатов, я не могу выбрать формат PFX (он неактивен)

Существуют ли какие-либо инструменты для этого или примеры C#, делающие это программно?

613

windows security iis ssl-certificate certificate

Источник

user159057 10 июн '11 в 14:38

24 ответа

Другие вопросы по тегам windows security iis ssl-certificate certificate

user1059026 24 июн '13 в 20:20 2013-06-24 20:20 · Answer 1 · 2013-06-24 20:20

Вам нужно будет использовать openssl.

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

Файл ключа - это просто текстовый файл с вашим личным ключом.

Если у вас есть корневой центр сертификации и промежуточные сертификаты, включите их, используя несколько -in Титулы

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -in intermediate.crt -in rootca.crt

Вы можете установить openssl отсюда: openssl

user2152334 12 июн '22 в 11:41 2022-06-12 11:41 · Answer 2 · 2022-06-12 11:41

Решение для Windows, не требующее установки OpenSSL

Недавно я пытался решить ту же проблему - и у меня был только ноутбук с Windows без установленного openssl (и недостаточно прав администратора для его установки). Оказывается, в Windows есть встроенная утилита под названиемcertutilкоторый может объединять файлы .crt и .key в .pfx. Документы здесь.

Вам нужно создать новую папку и поместить.crtи ключевые файлы в нем. Переименуйте оба файла, чтобы они имели одинаковое имя (но другое расширение):

      {{sitename}}.crt
{{siteName}}.key

Если ваш ключевой файл представляет собой обычный текстовый файл, просто измените расширение на.key.

После этого откройте cmd в этой папке и запуститеcertutil -mergepfx [INPUTFILE] [OUTPUTFILE]

Пример:

файл сертификата:mySite.crt

ключевой файл:mySite.key

команда certutil:certutil -mergepfx mySite.crt mySite.pfx

Примечание: вам будет предложено ввести пароль для вновь созданных.pfxфайл - не забудьте запомнить/сохранить его - он потребуется при импорте сертификата в целевую систему.

user504836 14 авг '14 в 23:11 2014-08-14 23:11 · Answer 3 · 2014-08-14 23:11

Если вы ищете Windows GUI, проверьте DigiCert. Я просто использовал это, и это было довольно просто.

На вкладке SSL я сначала импортировал сертификат. Затем, выбрав сертификат, я смог экспортировать его как PFX, как с ключом, так и без него.

https://www.digicert.com/util

50

Источник

user504836 14 авг '14 в 23:11

user2686133 09 сен '13 в 18:03 2013-09-09 18:03 · Answer 4 · 2013-09-09 18:03

Утилита командной строки Microsoft Pvk2Pfx, кажется, обладает необходимой вам функциональностью:

Pvk2Pfx (Pvk2Pfx.exe) - это средство командной строки, которое копирует информацию об открытом и закрытом ключах, содержащуюся в файлах.spc,.cer и.pvk, в файл обмена личной информацией (.pfx).
http://msdn.microsoft.com/en-us/library/windows/hardware/ff550672(v=vs.85).aspx

Примечание: если вам нужно / хотите / предпочитаете решение на C#, то вы можете рассмотреть возможность использования http://www.bouncycastle.org/ api.

user901899 08 мар '14 в 00:22 2014-03-08 00:22 · Answer 5 · 2014-03-08 00:22

Вам не нужно openssl или makecert или что-либо из этого. Вам также не нужен личный ключ, предоставленный вам вашим CA. Я могу почти гарантировать, что проблема в том, что вы ожидаете, что сможете использовать файлы ключей и сертификатов, предоставленные вашим ЦС, но они не основаны на "пути IIS ". Я так устал видеть плохую и сложную информацию здесь, что решил написать в блоге тему и решение. Когда вы поймете, что происходит, и увидите, как это легко, вы захотите меня обнять:)

Сертификаты SSL для IIS с PFX раз и навсегда - объяснение SSL и IIS - http://rainabba.blogspot.com/2014/03/ssl-certs-for-iis-with-pfx-once-and-for.html

Используйте интерфейс IIS "Сертификаты сервера" для "Генерации запроса сертификата" (подробности этого запроса выходят за рамки данной статьи, но эти детали являются критическими). Это даст вам CSR, подготовленный для IIS. Затем вы передаете этот CSR в свой CA и запрашиваете сертификат. Затем вы берете файл CER/CRT, который они вам дают, возвращаетесь в IIS, "Полный запрос сертификата" в том же месте, где вы сгенерировали запрос. Он может попросить.CER, и у вас может быть.CRT. Это одно и то же. Просто измените расширение или используйте . Расширение выпадающего, чтобы выбрать ваш.CRT. Теперь укажите правильное "понятное имя" (*.yourdomain.com, yourdomain.com, foo.yourdomain.com и т. Д.). ЭТО ВАЖНО! Это ДОЛЖНО совпадать с тем, для чего вы настроили CSR, и тем, что предоставил вам ваш CA Если вы запросили подстановочный знак, ваш CA должен был одобрить и сгенерировать подстановочный знак, и вы должны использовать его. Если ваш CSR был сгенерирован для foo.yourdomain.com, вы ДОЛЖНЫ предоставить его на этом этапе.

user2160044 08 янв '17 в 10:55 2017-01-08 10:55 · Answer 6 · 2017-01-08 10:55

Я создал файл.pfx из файлов.key и.pem.

Как это openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out rootCA.pfx

19

Источник

user2160044 08 янв '17 в 10:55

user7856894 16 сен '21 в 22:59 2021-09-16 22:59 · Answer 7 · 2021-09-16 22:59

По этой ссылке:

Если вам нужно, используйте эту простую последовательность команд с OpenSSL для создания filessl.key( Файл ключа сертификата SSL ) и filessl.crt( Файл сертификата SSL):

      openssl genrsa 2048 > filessl.key
chmod 400 filessl.key
openssl req -new -x509 -nodes -sha256 -days 365 -key filessl.key -out filessl.crt

Пока здесь вы должны ответить на интерактивную форму ( вы можете найти справочную информацию, например req.cnfиз этого другого сообщения: https://stackoverflow.com/a/49784278/7856894https://stackoverflow.com/a/49784278/7856894 )

Затем продолжите эту последнюю команду, которая попросит вас ввести пароль экспорта :

      openssl pkcs12 -export -out filessl.pfx -inkey filessl.key -in filessl.crt

Готов, это сгенерированный файл сертификата SSL в .PFX ( или P12 формате): filessl.pfx.

user214977 05 окт '15 в 15:33 2015-10-05 15:33 · Answer 8 · 2015-10-05 15:33

https://msdn.microsoft.com/en-us/library/ff699202.aspx

((соответствующие цитаты из статьи ниже))

Затем вам нужно создать файл.pfx, который вы будете использовать для подписи ваших развертываний. Откройте окно командной строки и введите следующую команду:

PVK2PFX –pvk yourprivatekeyfile.pvk –spc yourcertfile.cer –pfx yourpfxfile.pfx –po yourpfxpassword

где:

pvk - yourprivatekeyfile.pvk - это файл закрытого ключа, который вы создали на шаге 4.
spc - yourcertfile.cer - это файл сертификата, созданный на шаге 4.
pfx - yourpfxfile.pfx - это имя файла.pfx, который будет создаваться.
po - yourpfxpassword - это пароль, который вы хотите назначить файлу.pfx. Вам будет предложено ввести этот пароль при первом добавлении файла.pfx в проект в Visual Studio.

(При желании (и не для OP, но для будущих читателей) вы можете создать файл.cer и.pvk с нуля) (вы должны сделать это ДО вышеописанного). Обратите внимание, что мм / дд / гггг являются заполнителями для даты начала и окончания. см. статью MSDN для полной документации.

makecert -sv yourprivatekeyfile.pvk -n "CN=My Certificate Name" yourcertfile.cer -b mm/dd/yyyy -e mm/dd/yyyy -r

user473625 10 июн '11 в 14:41 2011-06-10 14:41 · Answer 9 · 2011-06-10 14:41

Вам нужно использовать инструмент makecert.

Откройте командную строку от имени администратора и введите следующее:

makecert -sky exchange -r -n "CN=<CertificateName>" -pe -a sha1 -len 2048 -ss My "<CertificateName>.cer"

куда <CertifcateName> = название вашего сертификата для создания.

Затем вы можете открыть оснастку "Диспетчер сертификатов" для консоли управления, введя certmgr.msc в меню "Пуск", выберите "Личные"> "Сертификаты">, и ваш сертификат должен быть доступен.

Вот статья.

https://azure.microsoft.com/documentation/articles/cloud-services-certs-create/

user1613797 09 мар '15 в 13:21 2015-03-09 13:21 · Answer 10 · 2015-03-09 13:21

Это BY FAR самый простой способ конвертировать *.cer в *.pfx файлы:

Просто скачайте конвертер переносимых сертификатов с DigiCert: https://www.digicert.com/util/pfx-certificate-management-utility-import-export-instructions.htm

Запустите его, выберите файл и получите ваш *.pfx!!

8

Источник

user1613797 09 мар '15 в 13:21

user1395266 09 сен '13 в 11:08 2013-09-09 11:08 · Answer 11 · 2013-09-09 11:08

Я получил ссылку с вашим требованием. Объедините файлы CRT и KEY в PFX с помощью OpenSSL

Выдержки из вышеуказанной ссылки:

Сначала нам нужно извлечь сертификат корневого CA из существующего файла.crt, потому что это понадобится нам позже. Итак, откройте.crt и нажмите на вкладку "Путь сертификации".
Нажмите самый верхний сертификат (в данном случае VeriSign) и нажмите "Просмотреть сертификат". Выберите вкладку Details и нажмите Copy to File...
Выберите сертификат X.509 (.CER) в кодировке Base-64. Сохраните его как rootca.cer или нечто подобное. Поместите его в ту же папку, что и другие файлы.
Переименуйте его из rootca.cer в rootca.crt Теперь у нас должно быть 3 файла в нашей папке, из которых мы можем создать файл PFX.
Вот где нам нужен OpenSSL. Мы можем либо загрузить и установить его в Windows, либо просто открыть терминал в OSX.

РЕДАКТИРОВАТЬ:

Существует ссылка поддержки с пошаговой информацией о том, как выполнить установку сертификата.
После успешной установки экспортируйте сертификат, выберите .pfx формат, включите закрытый ключ.
Важное примечание: для экспорта сертификата в формате.pfx необходимо выполнить действия на том же компьютере, с которого вы запросили сертификат.
Импортированный файл может быть загружен на сервер.

user2244734 24 фев '23 в 13:16 2023-02-24 13:16 · Answer 12 · 2023-02-24 13:16

openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx

6

Источник

user2244734 24 фев '23 в 13:16

user2313617 09 янв '22 в 17:42 2022-01-09 17:42 · Answer 13 · 2022-01-09 17:42

Я пробовал openssl на macbook с libreSSL v2.8.3 и получал ошибку «Нет сертификата, соответствующего закрытому ключу». У меня был один сертификат домена, 2 промежуточных и 1 корневой сертификат. Поэтому я использовал следующую команду, которая успешно сработала:

      openssl pkcs12 -export -clcerts -inkey private.csr.key -in domain.name.crt -certfile intermediate1.crt -certfile intermediate2.crt -certfile root.crt -out domain.name.p12 -name "Your Name"

Он запросит пароль, который будет использоваться во время импорта. Эта команда создаст файл .p12, который можно переименовать в .pfx, поскольку оба они одинаковы.

user180516 26 фев '13 в 18:53 2013-02-26 18:53 · Answer 14 · 2013-02-26 18:53

Когда вы говорите, что сертификат доступен в MMC, он доступен в разделе "Текущий пользователь" или "Локальный компьютер"? Я обнаружил, что могу экспортировать закрытый ключ, только если он находится под локальным компьютером.

Вы можете добавить оснастку "Сертификаты" в MMC и выбрать учетную запись, для которой она должна управлять сертификатами. Выберите Локальный компьютер. Если вашего сертификата нет, импортируйте его, щелкнув правой кнопкой мыши магазин и выбрав "Все задачи"> "Импорт".

Теперь перейдите к импортированному сертификату в разделе версии сертификата для локального компьютера. Щелкните правой кнопкой мыши сертификат и выберите "Все задачи"> "Экспорт". Вторая страница мастера экспорта должна спросить, хотите ли вы экспортировать закрытый ключ. Выберите Да. Теперь доступна только опция PFX (она недоступна, если вы выбрали нет, а опция экспорта закрытого ключа недоступна для учетной записи текущего пользователя).

Вам будет предложено установить пароль для файла PFX, а затем установить имя сертификата.

user5484 28 июн '16 в 15:55 2016-06-28 15:55 · Answer 15 · 2016-06-28 15:55

У меня была такая же проблема. Моя проблема заключалась в том, что компьютер, сгенерировавший первоначальный запрос сертификата, потерпел крах до завершения расширенного процесса проверки ssl. Мне нужно было создать новый закрытый ключ, а затем импортировать обновленный сертификат от поставщика сертификатов. Если секретный ключ не существует на вашем компьютере, вы не можете экспортировать сертификат в формате pfx. Они неактивны.

user6042456 08 окт '21 в 13:28 2021-10-08 13:28 · Answer 16 · 2021-10-08 13:28

Я хотел бы продвигать «X-сертификат и менеджер ключей» или xca.exe, это похоже на версию OpenSSL с графическим интерфейсом пользователя. При этом вы можете сгенерировать файл pfx, выполнив следующие действия:

Импортировать закрытый ключ во вкладке «Закрытые ключи»;
Импортируйте сертификат во вкладке «Сертификаты»;
Создайте файл pfx, выбрав сертификат, а затем «Экспорт», выберите PKCS #12 в качестве формата.

Вот и все.

user6130346 01 июн '20 в 14:07 2020-06-01 14:07 · Answer 17 · 2020-06-01 14:07

Для файлов pfx из SSL бесплатно я считаю этот https://decoder.link/converter самым простым.

Просто убедитесь PEM -> PKCS#12 выбран, затем загрузите сертификат, ca_bundle и файлы ключей и выполните преобразование.

Запомните пароль, затем загрузите с паролем, который вы использовали, и добавьте привязки.

user2461574 06 мар '16 в 22:21 2016-03-06 22:21 · Answer 18 · 2016-03-06 22:21

В большинстве случаев, если вы не можете экспортировать сертификат как PFX (включая закрытый ключ), это связано с тем, что MMC/IIS не может найти / не имеет доступа к закрытому ключу (используется для генерации CSR). Вот шаги, которые я выполнил, чтобы решить эту проблему:

Запустите MMC от имени администратора
- Создайте CSR, используя MMC. Следуйте этим инструкциям, чтобы сделать сертификат экспортируемым.
Как только вы получите сертификат от CA (crt + p7b), импортируйте их (Личные \ Сертификаты и Промежуточный центр сертификации \ Сертификаты)
ВАЖНО! Щелкните правой кнопкой мыши новый сертификат (Личные \ Сертификаты) Все задачи... Управление закрытым ключом и назначьте разрешения для своей учетной записи или для всех (рискованно!). Вы можете вернуться к предыдущим разрешениям, как только вы закончите.
Теперь щелкните правой кнопкой мыши сертификат и выберите "Все задачи... Экспорт", и вы сможете экспортировать сертификат, включая закрытый ключ, в виде файла PFX, и вы можете загрузить его в Azure!

Надеюсь это поможет!

user907734 13 дек '16 в 18:01 2016-12-13 18:01 · Answer 19 · 2016-12-13 18:01

Хотя, вероятно, проще всего создать новый CSR с использованием IIS (как сказал @rainabba), при условии, что у вас есть промежуточные сертификаты, есть некоторые онлайн-конвертеры, например: https://www.sslshopper.com/ssl-converter.html

Это позволит вам создать PFX из вашего сертификата и закрытого ключа без необходимости установки другой программы.

user13300240 05 сен '22 в 09:49 2022-09-05 09:49 · Answer 20 · 2022-09-05 09:49

Я написал небольшое консольное приложение, которое преобразуетPEMфайл сертификата и файл закрытого ключа в один .pfxPKCS12файл сертификата. Он использует библиотеку BouncyCastle.

Мой репозиторий на Github: https://github.com/nklkli/PEM-to-PKCS12

Не стесняйтесь изменять код для создания защищенного паролем файла *.pfx.

user1069423 09 апр '19 в 11:35 2019-04-09 11:35 · Answer 21 · 2019-04-09 11:35

Там есть Export-PfxCertificate Командлет, доступный для Powershell, который, кажется, делает эту работу.

0

Источник

user1069423 09 апр '19 в 11:35

user4700922 24 апр '21 в 23:25 2021-04-24 23:25 · Answer 22 · 2021-04-24 23:25

Это был самый простой инструмент от Certum, который я нашел в сети. Без загрузки, без установки, без командной строки и т. Д. Просто скопируйте / вставьте CRT и закрытый ключ и загрузите PFX:

https://cservices.certum.pl/muc-customer/pfx/generator

0

Источник

user4700922 24 апр '21 в 23:25

user6174054 19 окт '21 в 02:19 2021-10-19 02:19 · Answer 23 · 2021-10-19 02:19

Мне удалось установить свой ssl на веб-службу Azure, для которой также требуется файл PFX, выполнив следующие действия:

Перейдите на https://www.sslshopper.com/ssl-converter.html.
Тип действующего сертификата: Стандартный PEM
Загрузите файл .crt / закрытый ключ / пакет crt в файл сертификата цепочки
Тип для преобразования: PFX / PKCS#12
Введите ваш пароль
Перерабатывать

Вы получите файл pfx, который можно использовать на веб-сервере IIS или в Azure.

user5373704 11 май '17 в 08:28 2017-05-11 08:28 · Answer 24 · 2017-05-11 08:28

Я знаю, что несколько пользователей говорили об установке того и другого, а также о добавлении программ из командной строки и загрузке...

Лично я ленив и нахожу все эти методы громоздкими и медленными, плюс я не хочу ничего скачивать и находить правильные строки cmd, если мне не нужно.

Лучший способ для меня на моем личном сервере IIS - использовать RapidSSLOnline. Это инструмент, который на сервере позволяет вам загружать свой сертификат и закрытый ключ и может генерировать для вас файл pfx, который вы можете напрямую импортировать в IIS.

Ссылка здесь: https://www.rapidsslonline.com/ssl-tools/ssl-converter.php

Ниже приведены шаги, используемые для запрашиваемого сценария.

Выберите текущий тип = PEM
Изменить на = PFX
Загрузите свой сертификат
Загрузите свой закрытый ключ
Если у вас есть сертификат ROOT CA или промежуточные сертификаты, загрузите их тоже
Установите пароль на ваш выбор, используемый в IIS
Нажмите на кнопку reCaptcha, чтобы доказать, что вы не бот
Нажмите Конвертировать

И это все, что вам нужно загрузить PFX и использовать это в процессе импорта в IIS.

Надеюсь, что это помогает другим единомышленникам, ленивым техническим людям.