Vytvoření PFX souboru

Soubor s koncovkou PFX značí certifikát ve formátu PKCS#12; v něm je uložen certifikát, intermediate certifikát autority nutný pro důvěryhodnost certifikátu a privátní klíč k certifikátu. Můžete si ho představit jako archiv, ve kterém je uloženo vše, co potřebujete k nasazení certifikátu.

Kdy potřebujete vytvořit PFX? Jedná se zejména o následující scénáře:

  • Budete certifikát instalovat na Windows Server (IIS), ale CSR request nebyl vytvořen v IIS.
  • Certifikát potřebujete pro Windows Server, ale nemáte k dispozici IIS pro vygenerování CSR.
  • CSR jste vytvořili v SSLmarketu a uložili jste si privátní klíč. Nyní potřebujete certifikát nasadit na Windows Server.
  • Máte Code Signing certifikát a PFX potřebujete pro podepisování.

Pro tyto (i jiné) situace přinášíme návod.

Vytvoření PFX pomocí OpenSSL

OpenSSL je knihovna (program) dostupná v každém unixovém operačním systému. Pokud máte linuxový server nebo pracujete na Linuxu, tak OpenSSL určitě najdete mezi dostupnými programy.

V OpenSSL je nutné samostatně uložené klíče sloužit do jednoho PFX (PKCS#12) souboru. Učiníte tak příkazem: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx

Po zadání hesla chránícího certifikát bude v adresáři (ve kterém se nacházíte) vytvořen soubor vystup.pfx (jméno souboru volíte v příkazu výše).

Vytvoření PFX na Windows (Serveru s IIS)

Vytvoření PFX z existujícího certifikátu

Z operačního systému Windows je možné existující certifikát vyexportovat z úložiště certifikátů jako soubor PFX pomocí konzole MMC. Tento postup můžete zvolit i na Windows serveru, pokud je IIS do úložiště certifikátů ukládá.

Webový server IIS umožňuje export existujícího certifikátu do PFX přímo z přehledu certifikátů na serveru. Privátní klíč a CSR se vytvoří během vytvoření CSR žádosti v IIS a po vystavení je certifikát zpět naimportován (oba kroky najdete ve videonápovědě).

Export je velice jednoduchý - kliknete na dotyčný certifikát pravým tlačítkem a vyberte Export. Po zvolení hesla chránícího PFX soubor je uložen na disk.

Export SSL certifikátu z IIS

Import nového certifikátu a vytvoření PFX

Tento postup bohužel není možný. Úložiště certifikátů Windows neumožňuje importovat samostatný privátní klíč ze souboru, proto v konzoli MMC nesloučíte klíče do PFX jako v OpenSSL. Do webového serveru IIS můžete importovat pouze PFX, takže platí to, co v předchozím případě.

Potřebujete-li do Windows Serveru importovat nový certifikát a na serveru není privátní klíč (CSR request jste na serveru nevytvořili), můžete postupovat těmito kroky:

  • Vytvořit PFX jinde (OpenSSL či jinak) a pak certifikát pomocí PFX importovat
  • Vytvořit na serveru novou žádost (CSR request) a provést tzv. reissue certifikátu.
Reissue znamená, že certifikát bude zdarma vydán znovu a můžete ho importovat k existujícímu privátnímu klíči. Můžete ho provést sami v zákaznické administraci.

Vytvoření PFX pomocí aplikace třetí strany

Soubor PFX můžete ze samostatných klíčů vytvořit v grafickém programu a obejít tak nutnost použití OpenSSL v terminálu.

Jako nejlepší program pro tento účel je opensource aplikace XCA. V tomto intuitivním programu můžete spravovat všechny své certifikáty a klíče. Hlavní výhodou je automatické přiřazení odpovídajících klíčů k sobě; nemusíte tedy hledat, který privátní klíč patří ke kterému certifikátu. Import klíčů je jednoduchý a export můžete provést do všech známých formátů.

program XCA pro správu šifrovacích klíčů

S ukradeným Code signing certifikátem může útočník podepisovat jakékoliv soubory jménem vaší firmy. Proto je důležité uchovat PFX soubor v bezpečí, nebo zvolit Code Signing EV certifikát. Certifikát Code Signing EV je uložen na tokenu a jeho zneužití při krádeží je prakticky vyloučeno; po několikerém špatném zadání hesla se token zablokuje.

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.