SSLmentor

Kvalitetni TLS/SSL certifikati za web stranice i internet projekte.

OpenSSL

OpenSSL

Izvoz certifikata u PFX

Upute za izvoz privatnog ključa, certifikata, uključujući međunarodne certifikate certifikacijskog tijela iz PEM (X.509) formata u PFX format, koji je pogodan za instalaciju na Windows poslužitelju s IIS-om (Internet Information Server).

Izvoz korištenjem OpenSSL-a

Za rad s certifikatima potrebno je imati instaliranu OpenSSL biblioteku. Pogledajte stranicu OpenSSL-a za Windows i Mac OSX za upute i poveznice za preuzimanje.

Priprema certifikata

Za izvoz će nam trebati datoteke certifikata i privatnog ključa. Sve spremite u 3 datoteke - privatni ključ (.key), javni ključ (.pem) i jedna datoteka će biti s međuključevima iz CA (.pem). Za izvoz nije bitno jesu li datoteke s ekstenzijom .PEM ili .TXT, a oznaka ovisi o vašem izboru. U smislu orijentacije, privatni ključ trebao bi biti nazvan .KEY.

  • datoteka privatnog ključa (spremljena prilikom generiranja u Upravljačkoj ploči ili OpenSSL-u)
  • datoteka certifikata iz certifikacijskog tijela (certificirani javni ključ)
  • datoteka s međuključevima iz certifikacijskog tijela

Datoteke sadrže certifikate u PEM formatu. Ključevi počinju i završavaju s -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, privatni ključ -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----.

Izvoz PEM u PFX (PKCS#12)

Za izvoz u OpenSSL-u koristit ćemo naredbu pkcs12 s postavljenim parametrima:

openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem

Ili, primjerice, ako imamo ključne datoteke u TXT formatu:

pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile ca.txt

Nakon pokretanja, bit će potrebno unijeti lozinku + potvrdu (min. 4 znaka), a zatim će certifikat biti izvezen u datoteku cert.pfx.
Ako se datoteke ne nalaze u trenutnom direktoriju, morate navesti put. Datoteke s certifikatima također mogu imati ekstenziju .txt, kako je prikazano na slici.

OpenSSL - izvoz certifikata u PFX

Provjerite datoteku ključa .pfx

Nakon izvoza, preporučujemo provjeru datoteke .pfx kako biste vidjeli jesu li svi certifikati ispravno umetnuti.

openssl pkcs12 -info -nodes -in cert.pfx

Mogući problemi pri izvozu

Error opening input file key/cert.txt
 key/cert.txt: No such file or directory

Provjerite putanju i nazive datoteka ključeva.

Unable to load certificate
Provjerite ispravan PEM format certifikata i sadržaj koji počinje s -----BEGIN CERTIFICATE-----.

Rad s ključevima u PFX-u

Za izvoz šifriranog privatnog ključa iz .pfx-a, koristite naredbu: openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
Lozinka za šifriranje mora imati minimalno 4 znaka.

Dekripcija privatnog ključa: openssl rsa -in key-crypt.key -out key.key

Izvoz certifikata (javni ključ) u .crt format: openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt

Izvoz certifikata u PFX bez privatnog ključa

Izvoz certifikata u PFX bez privatnog ključa: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem

Izvoz certifikata u PFX bez privatnog ključa s međunarodnim CA certifikatima: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem

Konverzija certifikata između različitih formata

Pomoću OpenSSL-a mogu se izvršiti razne konverzije između formata koristeći sljedeće naredbe.

Konvertiraj PEM → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
Konvertiraj PEM → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
Konvertiraj DER → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
Konvertiraj P7B → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Konvertiraj P7B → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
Konvertiraj PFX → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes

Povratak na pomoć
Našli ste grešku ili ne razumete nešto? Pišite nam!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum