Как преобразовать сертификат в формат PFX

На серверы с операционной системой Windows и на их веб-серверы IIS необходимо устанавливать нестандартные форматы файлов сертификата — .pfx. После выпуска сертификата, приобретенного у нас, вам доступны для скачивания файлы в формате PEM (.crt, .ca-bundle), которых может быть недостаточно для установки на Windows хостинг.

Если взять один зашифрованный файл формата .pfx, в нем хранятся сразу и приватный ключ (.key), и сертификат (.crt), и цепочка сертификатов (.ca-bundle).

Мы расскажем, как из файлов SSL-сертификата получить файлы в формате .pfx.

1. Скачать архив сертификата из SSL панели.

Попасть в SSL-панель можно из Панели клиента на нашем сайте. Перейдите в раздел Мои услуги, нажмите кнопку Детали возле сертификата.

Далее в разделе Панель управления — кнопка Открыть.

Здесь нажмите Скачать архив с сертификатом.

В архиве вам необходимы:

• файл сертификата с расширением .crt
• промежуточные сертификаты (.ca-bundle), или “цепочка сертификатов”

2. Найти приватный ключ .KEY

При генерации CSR-запроса на Windows сервере, вместе с ним был сгенерирован и сохранен на сервере приватный ключ RSA (.key). Найдите данный файл на сервере. Это необходимо для следующего шага.

Если CSR-запрос генерировался в нашей SSL-панели, мы отправили вам на почту связку ключей CSR-RSA в письме с темой «Your generated CSR and keys» от [email protected]anel.io. Скопируйте ключ, начинающийся тэгом ——BEGIN RSA PRIVATE KEY—-, создайте на вашем компьютере текстовый документ (например, в Блокнот), вставьте в него ключ и сохраните с расширением .key.

3. Объединить файлы .CRT, .KEY и .CA-BUNDLE

Для того, чтобы это сделать, установите на ваш компьютер программу openssl.exe.

Откройте данную утилиту и введите команду:

pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -certfile domain.name.ca-bundle

domain.key — имя файла с приватным ключом RSA;

domain.crt — имя файла сертификата;

domain.ca-bundle — имя файла цепочки сертификатов.

Если конвертация прошла успешно, вы увидите слово Verifying.

В случае, когда вариант, представленный выше не подходит, вы можете найти много вариантов конвертации с помощью online-сервисов в интернете. Некоторые из таких вариантов мы собрали ниже:

4. Установить сертификат на ваш веб-сервер IIS

Вы можете установить SSL-сертификат, руководствуясь нашими инструкциями:

Наша служба поддержки ответит и поможет вам в любое время в чате, если возникнут вопросы.

Конвертировать .pfx в .cer

Можно ли преобразовать файл .pfx (Обмен личной информацией) в файл .cer (Сертификат безопасности)? Если я не ошибаюсь, не .cer как-то встроен в .pfx? Я хотел бы как-нибудь извлечь его, если это возможно.

я полагаю, что простой способ — импортировать и экспортировать, используя диспетчер сертификатов в консоли управления Windows.

Файлы PFX представляют собой стандартные пакеты синтаксиса обмена персональной информацией PKCS # 12 . Они могут включать произвольное количество закрытых ключей с сопровождающими сертификатами X.509 и цепочку центра сертификации (набор сертификатов).

Если вы хотите извлечь клиентские сертификаты, вы можете использовать инструмент OpenSSL PKCS12 .

Команда выше выведет сертификат (ы) в формате PEM. Расширение файла «.crt» обрабатывается как macOS, так и Window.

Вы упоминаете расширение «.cer» в вопросе, который обычно используется для файлов в кодировке DER. Бинарная кодировка. Сначала попробуйте файл «.crt» и, если он не принят, легко конвертировать из PEM в DER:

Если вы работаете в PowerShell, вы можете использовать что-то вроде следующего, учитывая pfx- файл InputBundle.pfx , для создания DER-кодированного (двоичного) файла сертификата OutputCert.der :

Newline добавлен для ясности, но вы, конечно, можете иметь все это в одной строке.

Если вам нужен сертификат в формате PEM в кодировке ASCII / Base64, вы можете предпринять дополнительные шаги, как описано в другом месте, например, здесь: /superuser/351548/windows-integrated-utility-to-convert -der к PEM

Если вам нужно экспортировать в формат, отличный от кодированного DER, вы можете изменить -Type параметр Export-Certificate, чтобы использовать типы, поддерживаемые .NET, как показано в help Export-Certificate -Detailed :

Экспорт PFX-файла и его установка

Экспорт сертификата с закрытым ключом.

В браузере Internet Explorer

• Откройте Internet Explorer.
• Нажмите кнопку «Сервис» («шестерёнка» в правом верхнем углу окна).

• Выберите пункт «Свойства браузера».
• Зайдите на вкладку «Содержание» — кнопка «Сертификаты».

• В открывшемся окне на вкладке «Личные» находится Ваш сертификат.

• Откройте сертификат, который нужно скопировать, дважды щёлкнув на него правой клавишей мышки.
• На вкладке «Состав» нажмите «Копировать в файл».

• В «Мастере экспорта сертификатов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».

• На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».

• Поставьте галочку и задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».

• Укажите имя файла, выберите путь сохранения, с помощью кнопки «Обзор», укажите имя файла и нажмите «Сохранить», «Далее», затем нажмите «Готово».

Экспорт открытого ключа сертификата

• Для этого, повторив пункт 1-5, следует выделить нужный сертификат и нажать на кнопку «Экспорт».

• В окне «Мастер экспорта сертификатов» нажать на кнопку «Далее». Затем отметить пункт «Нет, не экспортировать закрытый ключ» и выбрать «Далее».

• В окне «Формат экспортируемого файла» выбрать «Файлы X.509 (.CER) в кодировке DER» и нажать на кнопку «Далее».

• В следующем окне необходимо кликнуть по кнопке «Обзор», указать имя и каталог для сохранения файла. Затем нажать на кнопку «Сохранить».

• В следующем окне нажать на кнопку «Далее», затем «Готово». Дождаться сообщения об успешном экспорте.
• Заархивируйте полученные файлы форматов .pfx и .cer.

Установка сертификата с закрытым ключом

• Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».
• Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».

• Введите пароль, который указывали при экспорте (пункт 10) и поставьте галочку на пункте «Пометить этот ключ как экспортируемый…», иначе контейнер нельзя будет скопировать в дальнейшем. Нажмите «Далее».

• Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».

• В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.

• Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер.

Установка через меню «Установить личный сертификат»

• Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer).

• В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP».
• Перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»:

• В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

• В следующем окне нажмите кнопку «Далее»; в окне Сертификат для установки нажмите «Далее».
• Поставьте галку в окне «Найти контейнер автоматически» (в нашем примере контейнер находится в Реестре компьютера) и нажмите «Далее»:

• В следующем окне отметьте пункт «Установить сертификат (цепочку сертификатов) в контейнер» и нажмите «Далее»:

• В окне Завершение мастера установки личного сертификата нажмите «Готово».
• Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

eToken /JaCarta – 1234567890

• Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите «Да»:

• Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Остались вопросы?

Отдел технической поддержки

Convert a CERT/PEM certificate to a PFX certificate

I’ve seen a couple questions about how to convert a PFX to a cert file, but I need to go the other way.

I have two files:

I’d like to convert them to a single .pfx file. Is there a tool that does this?

4 Answers 4

Here is how to do this on Windows without third-party tools:

Import certificate to the certificate store. In Windows Explorer select «Install Certificate» in context menu. Follow the wizard and accept default options «Local User» and «Automatically».

Find your certificate in certificate store. On Windows 10 run the «Manage User Certificates» MMC. On Windows 2013 the MMC is called «Certificates». On Windows 10 by default your certificate should be under «Personal»->»Certificates» node.

Export Certificate. In context menu select «Export. » menu:

Select «Yes, export the private key»:

You will see that .PFX option is enabled in this case:

How to create .pfx file from certificate and private key?

I need .pfx file to install https on website on IIS.

I have two separate files: certificate (.cer or pem) and private key (.crt) but IIS accepts only .pfx files.

I obviously installed certificate and it is available in certificate manager (mmc) but when I select Certificate Export Wizard I cannot select PFX format (it’s greyed out)

Are there any tools to do that or C# examples of doing that programtically?

15 Answers 15

You will need to use openssl.

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

The key file is just a text file with your private key in it.

If you have a root CA and intermediate certs, then include them as well using multiple -in params

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -in intermediate.crt -in rootca.crt

You can install openssl from here: openssl

If you’re looking for a Windows GUI, check out DigiCert. I just used this and it was fairly simple.

Under the SSL tab, I first Imported the Certificate. Then once I selected the Certificate I was able to export as a PFX, both with and without a keyfile.

The Microsoft Pvk2Pfx command line utility seems to have the functionality you need:

Pvk2Pfx (Pvk2Pfx.exe) is a command-line tool copies public key and private key information contained in .spc, .cer, and .pvk files to a Personal Information Exchange (.pfx) file.
http://msdn.microsoft.com/en-us/library/windows/hardware/ff550672(v=vs.85).aspx

Note: if you need/want/prefer a C# solution, then you may want to consider using the http://www.bouncycastle.org/ api.

You do NOT need openssl or makecert or any of that. You also don’t need the personal key given to you by your CA. I can almost guarantee that the problem is that you expect to be able to use the key and cer files provided by your CA but they aren’t based on «the IIS way». I’m so tired of seeing bad and difficult info out here that I decided to blog the subject and the solution. When you realize what’s going on and see how easy it is, you will want to hug me 🙂