Certificaat exporteren naar PFX
Instructies voor het exporteren van de privésleutel, certificaat en tussenliggende certificaten van de certificeringsinstantie van PEM (X.509) formaat naar het PFX formaat, dat geschikt is voor installatie op een Windows-server met IIS (Internet Information Server).
Exporteren met OpenSSL
Om met certificaten te werken, moet de OpenSSL-bibliotheek geïnstalleerd zijn. Zie de OpenSSL voor Windows en Mac OSX pagina voor instructies en downloadlinks.
Voorbereiding van het certificaat
We hebben bestanden nodig voor de privésleutel en het certificaat voor de export. Bewaar alles in 3 bestanden - privésleutel (.key), openbare sleutel (.pem) en één bestand zal tussenliggende sleutels zijn van de CA (.pem). Voor de export maakt het niet uit of de bestanden de extensie .PEM of .TXT hebben en de aanduiding hangt af van uw keuze. Wat betreft de oriëntatie moet de privésleutel worden genoemd .KEY.
- privésleutelbestand (opgeslagen tijdens generatie in het configuratiescherm of OpenSSL)
- certificaatbestand van een certificeringsinstantie (gecertificeerde openbare sleutel)
- bestand met tussenliggende certificaten van de certificeringsinstantie
De bestanden bevatten certificaten in PEM-formaat. De sleutels beginnen en eindigen op -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----
, de privésleutel -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----
.
PEM naar PFX exporteren (PKCS#12)
Voor de export met OpenSSL gebruiken we het commando pkcs12 met ingestelde parameters:
openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem
Of, bijvoorbeeld, als we key-bestanden in TXT-formaat hebben:
pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile ca.txt
Na opstarten wordt u gevraagd een wachtwoord in te voeren + bevestiging (min. 4 tekens), het certificaat wordt vervolgens geëxporteerd naar het bestand cert.pfx.
Als de bestanden zich niet in de gebruikte map bevinden, moet u een pad opgeven. Certificaatbestanden kunnen ook een .txt-extensie hebben, zoals getoond in de afbeelding.
Controleer het .pfx sleutelbestand
Na het exporteren raden we aan om het .pfx-bestand te controleren om te zien of alle certificaten correct zijn ingevoegd.
openssl pkcs12 -info -nodes -in cert.pfx
Mogelijke exportfouten
Fout bij openen van invoerbestand sleutel/cert.txt
sleutel/cert.txt: Bestand of map bestaat niet
Controleer het pad en de bestandsnamen van de sleutels.
Kan certificaat niet laden
Controleer het juiste PEM-certificaatformaat en inhoud beginnend met -----BEGIN CERTIFICATE-----.
Werken met sleutels in PFX
Om een versleutelde privésleutel uit .pfx te exporteren, gebruikt u het commando: openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
Het wachtwoord voor versleuteling moet minimaal 4 tekens lang zijn.
Decryptie van de privésleutel: openssl rsa -in key-crypt.key -out key.key
Exporteer certificaat (openbare sleutel) naar .crt-formaat: openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt
Certificaat exporteren naar PFX zonder privésleutel
Certificaat exporteren naar PFX zonder privésleutel: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem
Certificaat exporteren naar PFX zonder privésleutel met tussenliggende CA-certificaten: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem
Certificaatconversie tussen verschillende formaten
Met OpenSSL kunnen verschillende conversies tussen formaten worden uitgevoerd met behulp van de volgende commando's.
Converteer PEM → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
Converteer PEM → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
Converteer DER → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
Converteer P7B → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Converteer P7B → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
Converteer PFX → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes
Waar nu?
Terug naar Help
Een fout gevonden of iets niet begrepen? Schrijf ons!