Làm cách nào để tạo tệp .pfx từ chứng chỉ và khóa riêng?

Tôi cần tệp .pfx để cài đặt https trên trang web trên IIS.

Tôi có hai tệp riêng biệt: chứng chỉ (.cer hoặc pem) và khóa riêng (.crt) nhưng IIS chỉ chấp nhận các tệp .pfx.

Tôi rõ ràng đã cài đặt chứng chỉ và nó có sẵn trong trình quản lý chứng chỉ (mmc) nhưng khi tôi chọn Trình hướng dẫn xuất chứng chỉ, tôi không thể chọn định dạng PFX (nó bị mờ đi)

Có công cụ nào để làm điều đó hoặc ví dụ về C # khi thực hiện chương trình đó không?

Bạn sẽ cần phải sử dụng openssl.

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

Tệp khóa chỉ là một tệp văn bản có khóa riêng của bạn trong đó.

Nếu bạn có CA gốc và các certs trung gian, thì hãy bao gồm chúng bằng cách sử dụng nhiều -inparam

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -in intermediate.crt -in rootca.crt

Bạn có thể cài đặt openssl từ đây: openssl

Tiện ích dòng lệnh Microsoft Pvk2Pfx dường như có chức năng bạn cần:

Pvk2Pfx (Pvk2Pfx.exe) là một công cụ dòng lệnh sao chép thông tin khóa chung và khóa riêng có trong các tệp .spc, .cer và .pvk vào tệp Trao đổi thông tin cá nhân (.pfx).
http://msdn.microsoft.com/en-us/l Library / windows / hardware / ff550672 (v = vs85) .aspx

Lưu ý: nếu bạn cần / muốn / thích giải pháp C #, thì bạn có thể muốn xem xét sử dụng http://www.bouncycastle.org/ api.

Nếu bạn đang tìm kiếm GUI Windows, hãy xem DigiCert. Tôi chỉ sử dụng cái này và nó khá đơn giản.

Trong tab SSL, trước tiên tôi đã nhập Chứng chỉ. Sau đó, khi tôi chọn Chứng chỉ, tôi có thể xuất dưới dạng PFX, cả có và không có khóa.

https://www.digicert.com/util

Bạn KHÔNG cần openssl hoặc makecert hoặc bất kỳ điều đó. Bạn cũng không cần khóa cá nhân do CA. Tôi gần như có thể đảm bảo rằng vấn đề là bạn mong đợi có thể sử dụng các tệp khóa và cer do CA của bạn cung cấp nhưng chúng không dựa trên "cách IIS". Tôi rất mệt mỏi khi thấy thông tin xấu và khó khăn ở đây đến nỗi tôi quyết định viết blog chủ đề và giải pháp. Khi bạn nhận ra điều gì đang xảy ra và thấy nó dễ dàng như thế nào, bạn sẽ muốn ôm tôi :)

SSL Certs cho IIS với PFX một lần và mãi mãi - SSL và IIS Giải thích - http://rainabba.blogspot.com/2014/03/ssl-certs-for-iis-with-pfx-once-and-for.html

Sử dụng UI "Chứng chỉ máy chủ" IIS để "Tạo yêu cầu chứng chỉ" (chi tiết của yêu cầu này nằm ngoài phạm vi của bài viết này nhưng những chi tiết đó rất quan trọng). Điều này sẽ cung cấp cho bạn một CSR được cài sẵn cho IIS. Sau đó, bạn đưa CSR đó cho CA của bạn và yêu cầu chứng chỉ. Sau đó, bạn lấy tệp CER / CRT mà họ cung cấp cho bạn, quay lại IIS, "Hoàn thành yêu cầu chứng chỉ" ở cùng nơi bạn đã tạo yêu cầu. Nó có thể yêu cầu .CER và bạn có thể có .CRT. Họ là những điều tương tự. Chỉ cần thay đổi tiện ích mở rộng hoặc sử dụng .thả xuống tiện ích mở rộng để chọn .CRT của bạn. Bây giờ cung cấp một "tên thân thiện" thích hợp (* .yourdomain.com, yourdomain.com, foo.yourdomain.com, v.v.) NÀY QUAN TRỌNG! Điều này PHẢI khớp với những gì bạn thiết lập CSR và CA của bạn đã cung cấp cho bạn những gì. Nếu bạn yêu cầu ký tự đại diện, CA của bạn phải được phê duyệt và tạo ký tự đại diện và bạn phải sử dụng tương tự. Nếu CSR của bạn được tạo cho foo.yourdomain.com, bạn PHẢI cung cấp tương tự ở bước này.

Tôi đã tạo tệp .pfx từ các tệp .key và .pem.

Như thế này openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out rootCA.pfx

https://msdn.microsoft.com/en-us/l Library / ff699202.aspx

((trích dẫn có liên quan từ bài viết dưới đây))

Tiếp theo, bạn phải tạo tệp .pfx mà bạn sẽ sử dụng để ký các triển khai của mình. Mở cửa sổ Dấu nhắc Lệnh và gõ lệnh sau:

PVK2PFX –pvk yourprivatekeyfile.pvk –spc yourcertfile.cer –pfx yourpfxfile.pfx –po yourpfxpassword

Ở đâu:

• pvk - yourprivatekeyfile.pvk là tệp khóa riêng mà bạn đã tạo ở bước 4.
• spc - yourcertfile.cer là tệp chứng chỉ bạn đã tạo ở bước 4.
• pfx - yourpfxfile.pfx là tên của tệp .pfx sẽ được tạo.
• po - yourpfxpassword là mật khẩu mà bạn muốn gán cho tệp .pfx. Bạn sẽ được nhắc nhập mật khẩu này khi bạn thêm tệp .pfx vào một dự án trong Visual Studio lần đầu tiên.

(Tùy chọn (và không dành cho OP, nhưng đối với người đọc trong tương lai), bạn có thể tạo tệp .cer và .pvk từ đầu) (bạn sẽ làm điều này TRƯỚC KHI ở trên). Lưu ý mm / dd / yyyy là giữ chỗ cho ngày bắt đầu và ngày kết thúc. xem bài viết msDN cho tài liệu đầy đủ.

makecert -sv yourprivatekeyfile.pvk -n "CN=My Certificate Name" yourcertfile.cer -b mm/dd/yyyy -e mm/dd/yyyy -r

Bạn cần sử dụng công cụ makecert.

Mở một dấu nhắc lệnh với tư cách quản trị viên và gõ như sau:

makecert -sky exchange -r -n "CN=<CertificateName>" -pe -a sha1 -len 2048 -ss My "<CertificateName>.cer"

Trong đó <CertifcateName>= tên của chứng chỉ của bạn để tạo.

Sau đó, bạn có thể mở snap-in Trình quản lý chứng chỉ cho bảng điều khiển quản lý bằng cách nhập certmgr.msc trong menu Bắt đầu, nhấp vào cá nhân> chứng chỉ> và chứng chỉ của bạn sẽ khả dụng.

Đây là một bài viết.

https://azure.microsoft.com/documentation/articles/cloud-service-certs-create/

Tôi có một liên kết với yêu cầu của bạn. Kết hợp các tệp CRT và KEY vào PFX với OpenSSL

Trích từ liên kết trên:

Đầu tiên chúng ta cần trích xuất chứng chỉ CA gốc từ tệp .crt hiện có, vì chúng ta cần điều này sau. Vì vậy, hãy mở .crt và nhấp vào tab Đường dẫn chứng nhận.

Nhấp vào chứng chỉ trên cùng (Trong trường hợp này là VeriSign) và nhấn Xem Chứng chỉ. Chọn tab Chi tiết và nhấn Sao chép vào Tập tin

Chọn chứng chỉ X.509 (.CER) được mã hóa Base-64 Lưu dưới dạng rootca.cer hoặc một cái gì đó tương tự. Đặt nó trong cùng thư mục với các tập tin khác.

Đổi tên nó từ rootca.cer thành rootca.crt Bây giờ chúng ta nên có 3 tệp trong thư mục của mình để có thể tạo tệp PFX.

Đây là nơi chúng ta cần OpenSSL. Chúng ta có thể tải xuống và cài đặt nó trên Windows , hoặc đơn giản là mở terminal trên OSX.

BIÊN TẬP:

1. Có một liên kết hỗ trợ với thông tin từng bước về cách cài đặt chứng chỉ.

2. Sau khi cài đặt thành công, xuất chứng chỉ, chọn .pfxđịnh dạng, bao gồm khóa riêng.

   Lưu ý quan trọng :: Để xuất chứng chỉ ở định dạng .pfx, bạn cần làm theo các bước trên cùng một máy mà bạn đã yêu cầu chứng chỉ .

3. Các tập tin nhập khẩu có thể được tải lên máy chủ.

Đây là BY FAR cách dễ nhất để chuyển đổi các tệp * .cer thành * .pfx:

Chỉ cần tải xuống trình chuyển đổi chứng chỉ di động từ DigiCert: https://www.digicert.com/util/pfx-cert ve-man Quản lý-utility-import-export-in cản.htmlm

Thực thi nó, chọn một tệp và nhận * .pfx của bạn !!

Khi bạn nói chứng chỉ có sẵn trong MMC, nó có sẵn trong "Người dùng hiện tại" hoặc "Máy tính cục bộ" không? Tôi thấy rằng tôi chỉ có thể xuất khóa riêng nếu nó nằm trong Máy tính cục bộ.

Bạn có thể thêm snap in cho Chứng chỉ vào MMC và chọn tài khoản cần quản lý chứng chỉ. Chọn máy tính cục bộ. Nếu chứng chỉ của bạn không có ở đó, hãy nhập nó bằng cách nhấp chuột phải vào cửa hàng và chọn Tất cả tác vụ> Nhập.

Bây giờ điều hướng đến chứng chỉ đã nhập của bạn trong phiên bản Máy tính cục bộ của chứng chỉ đính vào. Nhấp chuột phải vào chứng chỉ và chọn Tất cả tác vụ> Xuất. Trang thứ hai của trình hướng dẫn xuất sẽ hỏi bạn có muốn xuất khóa riêng không. Chọn Có. Tùy chọn PFX bây giờ sẽ là duy nhất khả dụng (nó có màu xám nếu bạn chọn không và tùy chọn xuất khóa riêng không khả dụng trong tài khoản Người dùng hiện tại).

Bạn sẽ được yêu cầu đặt mật khẩu cho tệp PFX và sau đó đặt tên chứng chỉ.

Tôi có những vấn đề giống nhau. Vấn đề của tôi là máy tính tạo yêu cầu chứng chỉ ban đầu đã bị hỏng trước khi quá trình xác nhận ssl mở rộng được hoàn thành. Tôi cần tạo khóa riêng mới và sau đó nhập chứng chỉ cập nhật từ nhà cung cấp chứng chỉ. Nếu khóa riêng không tồn tại trên máy tính của bạn thì bạn không thể xuất chứng chỉ dưới dạng pfx. Họ lựa chọn là màu xám.

Mặc dù có thể dễ dàng nhất để tạo CSR mới bằng IIS (như @rainabba đã nói), giả sử bạn có chứng chỉ trung gian, có một số trình chuyển đổi trực tuyến ngoài đó - ví dụ: https://www.sslshopper.com/ssl-converter. html

Điều này sẽ cho phép bạn tạo PFX từ chứng chỉ và khóa riêng mà không phải cài đặt chương trình khác.

Trong hầu hết các trường hợp, nếu bạn không thể xuất chứng chỉ dưới dạng PFX (bao gồm khóa riêng) là do MMC / IIS không thể tìm / không có quyền truy cập vào khóa riêng (được sử dụng để tạo CSR). Đây là các bước tôi đã làm theo để khắc phục vấn đề này:

• Chạy MMC với tư cách quản trị viên
  • Tạo CSR bằng MMC. Thực hiện theo các hướng dẫn này để làm cho chứng chỉ có thể xuất khẩu.
• Khi bạn nhận được chứng chỉ từ CA (crt + p7b), hãy nhập chúng (Personal \ Chứng chỉ và Cơ quan chứng nhận trung gian \ Chứng chỉ)
• QUAN TRỌNG: Nhấp chuột phải vào chứng chỉ mới của bạn (Cá nhân \ Chứng chỉ) Tất cả Tác vụ..Quản lý Khóa riêng và gán quyền cho tài khoản của bạn hoặc Mọi người (rủi ro!). Bạn có thể quay lại các quyền trước khi bạn hoàn thành.
• Bây giờ, nhấp chuột phải vào chứng chỉ và chọn Tất cả tác vụ..Export và bạn sẽ có thể xuất chứng chỉ bao gồm khóa riêng dưới dạng tệp PFX và bạn có thể tải nó lên Azure!

Hi vọng điêu nay co ich!

Tôi biết một vài người dùng đã nói về việc cài đặt cái này và cái kia và thêm các chương trình dòng lệnh và tải xuống ...

Cá nhân tôi lười biếng và thấy tất cả các phương pháp này cồng kềnh và chậm chạp, cộng với tôi không muốn tải xuống bất cứ thứ gì và tìm các dòng cmd chính xác nếu tôi không phải làm.

Cách tốt nhất cho tôi trên máy chủ IIS cá nhân của tôi là sử dụng RapidSSLOnline. Đây là một công cụ trên máy chủ cho phép bạn tải lên chứng chỉ và khóa riêng và có thể tạo tệp pfx cho bạn mà bạn có thể nhập trực tiếp vào IIS.

Liên kết ở đây: https://www.rapidsslonline.com/ssl-tools/ssl-converter.php

Dưới đây là các bước được sử dụng cho kịch bản được yêu cầu.

1. Chọn loại hiện tại = PEM
2. Thay đổi cho = PFX
3. Tải lên chứng chỉ của bạn
4. Tải lên khóa riêng của bạn
5. Nếu bạn có chứng chỉ ROOT CA hoặc certs trung gian cũng tải chúng lên
6. Đặt mật khẩu bạn chọn, được sử dụng trong IIS
7. Nhấp vào reCaptcha để chứng minh bạn không phải là bot
8. Nhấp vào Chuyển đổi

Và đó là bạn nên tải xuống PFX và sử dụng điều này trong quy trình Nhập trên IIS.

Hy vọng điều này sẽ giúp những người khác như những người có đầu óc, lười biếng.

Đối với các tệp cfx từ SSLForFree, tôi tìm thấy https://decoder.link/converter này dễ nhất.

Chỉ cần đảm bảo PEM -> PKCS # 12 được chọn, sau đó tải lên chứng chỉ, ca_bundle và các tệp chính và chuyển đổi. Ghi nhớ mật khẩu, sau đó tải lên bằng mật khẩu bạn đã sử dụng và thêm các ràng buộc.