Vytvoření PFX souboru

Soubor s koncovkou PFX značí certifikát ve formátu PKCS#12; v něm je uložen certifikát, intermediate certifikát autority nutný pro důvěryhodnost certifikátu a privátní klíč k certifikátu. Můžete si ho představit jako archiv, ve kterém je uloženo vše, co potřebujete k nasazení certifikátu.

SSLmarket neumožňuje stažení privátního klíče z administrace, protože by to vyžadovalo ukládání privátního klíče v našem systému. To nikdy dělat nebudeme.

Privátní klíč si u nás můžete vytvořit spolu s CSR, ale uložit (pro pozdější instalaci certifikátu) musíte privátní klíč sami.

Kdy potřebujete vytvořit PFX? Jedná se zejména o následující scénáře:

  • Budete certifikát instalovat na Windows Server (IIS), ale CSR request nebyl vytvořen v IIS.
  • Certifikát potřebujete pro Windows Server, ale nemáte k dispozici IIS pro vygenerování CSR.
  • CSR jste vytvořili v SSLmarketu a uložili jste si privátní klíč. Nyní potřebujete certifikát nasadit na Windows Server.
  • Máte Code Signing certifikát a PFX potřebujete pro podepisování.

Pro tyto (i jiné) situace přinášíme návod.

Vytvoření PFX pomocí OpenSSL

OpenSSL je knihovna (program) dostupná v každém unixovém operačním systému. Pokud máte linuxový server nebo pracujete na Linuxu, tak OpenSSL určitě najdete mezi dostupnými programy.

V OpenSSL je nutné samostatně uložené klíče sloužit do jednoho PFX (PKCS#12) souboru. Učiníte tak příkazem: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx

Po zadání hesla chránícího certifikát bude v adresáři (ve kterém se nacházíte) vytvořen soubor vystup.pfx (jméno souboru volíte v příkazu výše).

Vytvoření PFX na Windows (Serveru s IIS)

Vytvoření PFX z existujícího certifikátu

Z operačního systému Windows je možné existující certifikát vyexportovat z úložiště certifikátů jako soubor PFX pomocí konzole MMC. Tento postup můžete zvolit i na Windows serveru, pokud je IIS do úložiště certifikátů ukládá.

Webový server IIS umožňuje export existujícího certifikátu do PFX přímo z přehledu certifikátů na serveru. Privátní klíč a CSR se vytvoří během vytvoření CSR žádosti v IIS a po vystavení je certifikát zpět naimportován (oba kroky najdete ve videonápovědě).

Export je velice jednoduchý - kliknete na dotyčný certifikát pravým tlačítkem a vyberte Export. Po zvolení hesla chránícího PFX soubor je uložen na disk.

Export SSL certifikátu z IIS

Import nového certifikátu a vytvoření PFX

Tento postup bohužel není možný. Úložiště certifikátů Windows neumožňuje importovat samostatný privátní klíč ze souboru, proto v konzoli MMC nesloučíte klíče do PFX jako v OpenSSL. Do webového serveru IIS můžete importovat pouze PFX, takže platí to, co v předchozím případě.

Potřebujete-li do Windows Serveru importovat nový certifikát a na serveru není privátní klíč (CSR request jste na serveru nevytvořili), můžete postupovat těmito kroky:

  • Vytvořit PFX jinde (OpenSSL či jinak) a pak certifikát pomocí PFX importovat
  • Vytvořit na serveru novou žádost (CSR request) a provést tzv. reissue certifikátu.
Reissue znamená, že certifikát bude zdarma vydán znovu a můžete ho importovat k existujícímu privátnímu klíči. Můžete ho provést sami v zákaznické administraci.

Vytvoření PFX pomocí aplikace třetí strany

Soubor PFX můžete ze samostatných klíčů vytvořit v grafickém programu a obejít tak nutnost použití OpenSSL v terminálu.

Jako nejlepší program pro tento účel je opensource aplikace XCA. V tomto intuitivním programu můžete spravovat všechny své certifikáty a klíče. Hlavní výhodou je automatické přiřazení odpovídajících klíčů k sobě; nemusíte tedy hledat, který privátní klíč patří ke kterému certifikátu. Import klíčů je jednoduchý a export můžete provést do všech známých formátů.

program XCA pro správu šifrovacích klíčů

(Ne)bezpečnost PFX souboru

PFX soubor je vždy chráněn heslem, protože obsahuje privátní klíč. Při vytváření PFX volte heslo zodpovědně, protože vás může ochránit i před zneužitím certifikátu. Útočníka by jistě potěšilo, pokud by heslo ke ukradenému PFX souboru bylo "12345" - o to rychleji by mohl začít certifikát používat.

S ukradeným Code signing certifikátem může útočník podepisovat jakékoliv soubory jménem vaší firmy. Proto je důležité uchovat PFX soubor v bezpečí, nebo zvolit Code Signing EV certifikát. Certifikát Code Signing EV je uložen na tokenu a jeho zneužití při krádeží je prakticky vyloučeno; po několikerém špatném zadání hesla se token zablokuje.

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.