PFX fájl létrehozása

SA PFX végződésű fájl egy PKCS#12 formátumban elmentett tanúsítványt jelöl; ez tartalmazza a tanúsítványt, a tanúsítvány hatóság intermediate tanúsítványát, amely szükséges a tanúsítvány megbízhatóságának igazolásához, és a tanúsítványhoz tartozó privát kulcsot. Elképzelheti ezt mint egy archívumot, amelyben minden el van mentve, ami a tanúsítvány telepítéséhez szükséges.

AZ SSLMARKET NEM TESZI LEHETŐVÉ A PRIVÁT KULCS LETÖLTÉSÉT AZ ADMINISZTRÁCIÓBÓL, ugyanis ehhez el kellene mentenünk az Ön privát kulcsát a rendszerünkben. Ezt viszont sosem fogjuk csinálni.

A privát kulcsot létrehozhatja nálunk a tanúsítvány-aláírási kérelemmel (CSR-el) együtt, de elmenteni (a tanúsítvány későbbi telepítéséhez) már Önnek kell a kulcsot.

Mikor van szüksége PFX létrehozására? Ha fenn áll valamelyik az alábbi helyzetek közül:

  • Windows Serverre (IIS) fog tanúsítványt telepíteni, de a tanúsítvány-aláírási kérelem (CSR) nem volt beadva az IIS-ben.
  • A tanúsítványt Windows Server számára szeretné kiállíttatni, de nem rendelkezik IIS-szel a tanúsítvány-aláírási kérelem (CSR) beadására.
  • A tanúsítvány-aláírási kérelmet (CSR) az SSLmarketben adta be, és elmentette a privát kulcsot. Most pedig tanúsítványát Windows Serverre szeretné telepíteni.
  • Ön rendelkezik Code Signing tanúsítvánnyal, és a PFX fájlt aláírásokhoz szeretné használni. 

Ezen (és egyéb) helyzetekhez szolgálunk útmutatóval.

PFX létrehozása OpenSSL segítségével

Az OpenSSL egy (program) könyvtár, amely megtalálható minden unix-os operációs rendszerben. Ha rendelkezik linux szerverrel, vagy Linux-on futó gépen dolgozik, akkor biztosan megtalálja az OpenSSL-t az elérhető programok között.

Az OpenSSL-ben szükség van az egyedülállóan létrehozott kulcsokat egy PFX (PKCS#12) fájlba egyesíteni. Ezt megkapja az alábbi paranccsal: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatnykluc.key -out vystup.pfx

A tanúsítványt védelmező jelszó beadása után, a (használatban levő) mappában létrejön az adott kimenet.pfx fájl (a fájl nevét a fenti parancsban adhatja meg).

PFX létrehozása Windowson (Windows szerveren)

PFX létrehozása létező tanúsítványból

A Windows operációs rendszerből lehetséges a meglévő tanúsítványt PFX fájlként kiexportálni a tanúsítványok tárhelyéből az MMC konzol segítségével. Ezt a folyamatot választhatja a Windows serveren is, ha az IIS a tanúsítványokat a tanúsítványok tárhelyére menti.

Az IIS-es webes szerver lehetővé teszi a meglévő tanúsítvány exportálását a PFX fájlba egyenesen a tanúsítványok áttekintéséből a szerveren. A privát kulcs és a CSR létrejön a tanúsítvány-aláírási kérelem beadása során az IIS-ben, és kiállítás után a tanúsítvány visszaimportálódik (mindkét lépést megtekintheti a videósúgóban).

Az export nagyon egyszerű – jobb klikkel kattintson az adott tanúsítványra és válassza ki az Export lehetőséget. A PFX fájlt védelmező jelszó megválasztása után a fájl a lemezre mentődik.

Export SSL certifikátu z IIS

Új tanúsítvány importálása és PFX létrehozása

Ez a folyamat, sajnos, nem lehetséges. A Windows-os tanúsítványok tárhelye nem engedélyezi a privát kulcs importját fájlból, ezért az MMC konzolban nem tudja egyesíteni a kulcsokat egy PFX-be mint az OpenSSL-ben. Az IIS webes szerverre csak a PFX-t tudja importálni, tehát itt is az érvényes, ami az előző esetben.

Ha szüksége van Windows Serverre importálni egy új tanúsítványt és a szerveren nincs privát kulcs (tehát nem adott be tanúsítvány-aláírási kérelmet (CSR) a szerveren), kövesse az alábbi lépéseket:

  • PFX létrehozása máshol (OpenSSL vagy egyéb) és ezt követően a tanúsítvány importálása PFX fájlként
  • Új CSR kérelem beadása a szerveren és a tanúsítvány ún. reissue-jának elvégzése

A reissue azt jelenti, hogy a tanúsítvány ingyen újra ki lesz állítva és importálhatja azt a meglévő privát kulcshoz. Ezt egyedül is elvégezheti az ügyféli adminisztrációban.

PFX kiállítása harmadik fél alkalmazásának segítségével

A PFX fájlt létrehozhatja az egyedülálló kulcsokból egy grafikai programban és megkerülheti ezzel az OpenSSL használatát a parancssorban.

A legjobb program, amely ezt a célt szolgálja, a nyílt forráskódú XCA alkalmazás. Ebben az ösztönös programban kezelheti az összes tanúsítványát és kulcsát. A program nagy előnye a megfelelő kulcsok automatikus egymáshoz rendelése; nincs szükség tehát tovább keresnie, melyik kulcs tartozik melyik tanúsítványhoz. A kulcsok importálása egyszerű, az exportot pedig elvégezheti minden ismert formátumba.

program XCA na správu šifrovacích kľúčov

A PFX fájl (nem) biztonsága

A PFX fájl mindig jelszóval védett, ugyanis tartalmazza a privát kulcsot. PFX létrehozása során mindig gondosan válassza meg a jelszót, mert a tanúsítvánnyal való visszaéléssel szemben is megvédheti Önt. A támadót biztosan megörvendeztetné, ha az eltulajdonított PFX az "12345" jelszóval lenne kódolva – ugyanis annál gyorsabban tudná felhasználni az Ön tanúsítványát.

Az eltulajdonított Code Signing tanúsítvánnyal a támadó hitelesíthet/aláírhat bármilyen fájlt az Ön cégének nevében. Ezért fontos a PFX fájlt biztonságban tárolni, vagy Code Signing EV tanúsítványt választani. A Code Signing EV tanúsítvány tokenen van elmentve, és a vele történő visszaélés gyakorlatilag lehetetlen; a többszörösen helytelenül beadott jelszó után a token lezárul.

Szükség esetén lépjen kapcsolatba ügyfélszolgálatunkkal, amely a tanúsítvány kiválasztásával és bármilyen kérdéssel kapcsolatban is a segítségére áll.