SSLmentor

Kwaliteit TLS/SSL-certificaten voor websites en internetprojecten.

OpenSSL

OpenSSL

Certificaat exporteren naar PFX

Instructies voor het exporteren van de privésleutel, certificaat en tussenliggende certificaten van de certificeringsinstantie van PEM (X.509) formaat naar het PFX formaat, dat geschikt is voor installatie op een Windows-server met IIS (Internet Information Server).

Exporteren met OpenSSL

Om met certificaten te werken, moet de OpenSSL-bibliotheek geïnstalleerd zijn. Zie de OpenSSL voor Windows en Mac OSX pagina voor instructies en downloadlinks.

Voorbereiding van het certificaat

We hebben bestanden nodig voor de privésleutel en het certificaat voor de export. Bewaar alles in 3 bestanden - privésleutel (.key), openbare sleutel (.pem) en één bestand zal tussenliggende sleutels zijn van de CA (.pem). Voor de export maakt het niet uit of de bestanden de extensie .PEM of .TXT hebben en de aanduiding hangt af van uw keuze. Wat betreft de oriëntatie moet de privésleutel worden genoemd .KEY.

  • privésleutelbestand (opgeslagen tijdens generatie in het configuratiescherm of OpenSSL)
  • certificaatbestand van een certificeringsinstantie (gecertificeerde openbare sleutel)
  • bestand met tussenliggende certificaten van de certificeringsinstantie

De bestanden bevatten certificaten in PEM-formaat. De sleutels beginnen en eindigen op -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, de privésleutel -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----.

PEM naar PFX exporteren (PKCS#12)

Voor de export met OpenSSL gebruiken we het commando pkcs12 met ingestelde parameters:

openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem

Of, bijvoorbeeld, als we key-bestanden in TXT-formaat hebben:

pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile ca.txt

Na opstarten wordt u gevraagd een wachtwoord in te voeren + bevestiging (min. 4 tekens), het certificaat wordt vervolgens geëxporteerd naar het bestand cert.pfx.
Als de bestanden zich niet in de gebruikte map bevinden, moet u een pad opgeven. Certificaatbestanden kunnen ook een .txt-extensie hebben, zoals getoond in de afbeelding.

OpenSSL - certificaat exporteren naar PFX

Controleer het .pfx sleutelbestand

Na het exporteren raden we aan om het .pfx-bestand te controleren om te zien of alle certificaten correct zijn ingevoegd.

openssl pkcs12 -info -nodes -in cert.pfx

Mogelijke exportfouten

Fout bij openen van invoerbestand sleutel/cert.txt
 sleutel/cert.txt: Bestand of map bestaat niet

Controleer het pad en de bestandsnamen van de sleutels.

Kan certificaat niet laden
Controleer het juiste PEM-certificaatformaat en inhoud beginnend met -----BEGIN CERTIFICATE-----.

Werken met sleutels in PFX

Om een versleutelde privésleutel uit .pfx te exporteren, gebruikt u het commando: openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
Het wachtwoord voor versleuteling moet minimaal 4 tekens lang zijn.

Decryptie van de privésleutel: openssl rsa -in key-crypt.key -out key.key

Exporteer certificaat (openbare sleutel) naar .crt-formaat: openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt

Certificaat exporteren naar PFX zonder privésleutel

Certificaat exporteren naar PFX zonder privésleutel: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem

Certificaat exporteren naar PFX zonder privésleutel met tussenliggende CA-certificaten: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem

Certificaatconversie tussen verschillende formaten

Met OpenSSL kunnen verschillende conversies tussen formaten worden uitgevoerd met behulp van de volgende commando's.

Converteer PEM → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
Converteer PEM → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
Converteer DER → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
Converteer P7B → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Converteer P7B → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
Converteer PFX → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes

Terug naar Help
Een fout gevonden of iets niet begrepen? Schrijf ons!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum