- Что делать если нет сертификата в запросах заявок на сертификат
- Найти приватный ключ .KEY
- Объединить файлы .CRT, .KEY и .CA-BUNDLE
- Установить сертификат на ваш веб-сервер IIS
- Key и crt в pfx
- Pfx в key и crt
- Для чего нужно преобразование сертификатов
- Как получить pfx ключ на iis
- Конвертировать .pfx в .cer
- Получаем сертификат
- Преобразование crt в pem
- Преобразование p7b в pem
- Преобразование pem в key
- Преобразование pfx в pem
- Установка openssl для windows
- Файл cer
- Файл pem
Что делать если нет сертификата в запросах заявок на сертификат
Бывают ситуации, что на вашем сервере по каким-то причинам, в папке запросы на сертификат, может не оказаться вашего, в этом случае вам необходимо будет перейти в этой же mmc в раздел “Личное-Сертификаты”. Выбираем нужный и делаем экспорт.
Появится мастер экспорта сертификатов.
Обратите внимание, что в pfx выгрузить не получится, но это не страшно, нам подойдет и p7b, но с включенной галкой “Включить по возможности все сертификаты в путь сертификации”
Указываем путь сохраняемого файла.
Видим, что все успешно выполнено.
Найти приватный ключ .KEY
При генерации CSR-запроса на Windows сервере, вместе с ним был сгенерирован и сохранен на сервере приватный ключ RSA (.key). Найдите данный файл на сервере. Это необходимо для следующего шага.
Если CSR-запрос генерировался в нашей SSL-панели, мы отправили вам на почту связку ключей CSR-RSA в письме с темой “Your generated CSR and keys” от [email protected] Скопируйте ключ, начинающийся тэгом —–BEGIN RSA PRIVATE KEY—-, создайте на вашем компьютере текстовый документ (например, в Блокнот), вставьте в него ключ и сохраните с расширением .key.
Объединить файлы .CRT, .KEY и .CA-BUNDLE
Для того, чтобы это сделать, установите на ваш компьютер программу openssl.exe.
Откройте данную утилиту и введите команду:
pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -certfile domain.name.ca-bundle
domain.key — имя файла с приватным ключом RSA;
domain.crt — имя файла сертификата;
domain.ca-bundle — имя файла цепочки сертификатов.
Если конвертация прошла успешно, вы увидите слово Verifying.
В случае, когда вариант, представленный выше не подходит, вы можете найти много вариантов конвертации с помощью online-сервисов в интернете. Некоторые из таких вариантов мы собрали ниже:
Установить сертификат на ваш веб-сервер IIS
Вы можете установить SSL-сертификат, руководствуясь нашими инструкциями:
Наша служба поддержки ответит и поможет вам в любое время в чате, если возникнут вопросы.
Key и crt в pfx
Сшивание двух файлов ключей — открытого и закрытого — может потребоваться для сервисов на базе Windows, которые привыкли видеть сертификаты в формате .pfx. Также в некоторых случаях хранить пары ключей удобнее именно в формате pfx.
Примечание: если вы генерировали csr-запрос на стороне сервера Windows, то вам придется его завершить, подсунув файл .crt, который вам позже пришлет ваш ЦС. В итоге экспортировать сертификат из оснастки MMC вы сможете именно в формате .pfx.
Собрать crt и key в pfx можно командой:
Как только нажмете Enter, нужно будет ввести пароль от файла закрытого ключа (если этот пароль есть), а также пароль для экспорта в pfx. После этого смело используйте файл на серверах Windows, но не забудьте при импорте отметить ключ экспортируемым (иначе экспортировать ключ потом не получится).
Pfx в key и crt
Воспользуемся всем знакомой утилитой openssl, чтобы вытащить открытую часть pfx-сертификата1:
Нужно будет ввести пароль, который вы указывали при экспорте .pfx-сертификата. Теперь попробуем извлечь закрытую часть сертификата, поместив её в отдельный запароленный файл:
После выполнения команды вам придется ввести не только пароль, который использовался для экспорта .pfx-сертификата, но и новый пароль, необходимый для защиты .key-файла. Далее вы вполне можете использовать все полученные ранее файлы сертификата для настройки какого-либо сервиса, использующего SSL. Например Apache (см. секцию ниже в качестве примера).
Закрытый ключ сертификата с парольной защитой не всегда удобно использовать на реальном окружении. Например тот же Apache будет спрашивать пароль при каждом рестарте сервиса, что будет требовать человеческого участия. Обойти проблему можно, сняв пароль с закрытого ключа:
Будьте крайне осторожны в этом случае, чтобы не допустить компрометацию закрытого ключа. Установите на файл соответствующие права, чтобы никто кроме вас не имел к нему доступ:
Ну а теперь рассмотрим обратную процедуру.
Для чего нужно преобразование сертификатов
Тут ответ, очень простой, все дело в формате работы с ними у каждой программы, будь то IIS или же Apache сервер. Более подробно про виды сертификатов и их назначение, я вам посоветую прочитать вот эту статью.
Давайте я подробнее покажу как выглядит ошибка импортирования сертификата. Во первых когда вы получаете от comodo ваш архив с сертификатами, то там будет два файла:
Попытавшись на сервере IIS произвести их импорт вы увидите вот такую картинку.
Сертификат не содержит закрытого ключа
И тут нет ничего удивительного, так как это не pfx архив, то в нем нет нужного приватного ключа. Для его получения придется слегка постараться.
Как получить pfx ключ на iis
нажимаем сочетание клавиш WIN R и вводим mmc, для вызова оснастки. Я вам уже рассказывал о ее применении и удобстве для системного администратора.
Далее вам необходимо через меню “Файл” добавить новую оснастку.
Находим сертификаты и нажимаем кнопку “Добавить”
В следующем окне выбираем “для учетной записи компьютера”
подтверждаем, что нас интересует локальный компьютер.
Далее находим пункт “Запросы заявок на сертификат”, тут вы обнаружите ваш запрос, находите его и через правый клик экспортируете его.
У вас откроется мастер экспорта сертификатов
Далее вы выбираете “Да, экспортировать закрытый ключ”
Ставим галку “Включить по возможности все сертификаты в путь сертификации” и начинаем наш экспорт PFX архива.
Теперь мастер экспорта, просит вас указать два раза нужный вам пароль, для защиты pfx архива.
Через кнопку обзор, указываем место сохранения вашего файла.
Нажимаем “Готово”
Как видим, все успешно выгружено.
Конвертировать .pfx в .cer
Если вы работаете в PowerShell, вы можете использовать что-то вроде следующего, учитывая pfx- файл InputBundle.pfx , для создания DER-кодированного (двоичного) файла сертификата OutputCert.der :
Get-PfxCertificate -FilePath InputBundle.pfx |
Export-Certificate -FilePath OutputCert.der -Type CERT
Newline добавлен для ясности, но вы, конечно, можете иметь все это в одной строке.
Если вам нужен сертификат в формате PEM в кодировке ASCII / Base64, вы можете предпринять дополнительные шаги, как описано в другом месте, например, здесь: /superuser/351548/windows-integrated-utility-to-convert -der к PEM
Если вам нужно экспортировать в формат, отличный от кодированного DER, вы можете изменить -Typeпараметр Export-Certificate, чтобы использовать типы, поддерживаемые .NET, как показано в help Export-Certificate -Detailed:
-Type <CertType>
Specifies the type of output file for the certificate export as follows.
-- SST: A Microsoft serialized certificate store (.sst) file format which can contain one or more certificates. This is the default value for multiple certificates.
-- CERT: A .cer file format which contains a single DER-encoded certificate. This is the default value for one certificate.
-- P7B: A PKCS#7 file format which can contain one or more certificates.
Получаем сертификат
Если у вас все ещё нет сертификата от публичного ЦС,
тогда мы идем к вам
то самое время его получить. Обычно для этого сначала нужно сделать CSR-запрос. Следующий шаг — отправить его в ЦС и пройти проверку домена/организации (вам отправят письмо с кодом подтверждения на какой-либо админский адрес, либо позвонят на корпоративный номер телефона в зависимости от типа проверки).
Как только все формальности пройдены, на почту вы получите архив с нужным вам сертификатом в формате .crt (и всей цепочкой промежуточных на всякий случай).
Преобразование crt в pem
Кладем так же все в одну папку, файл crt вам должны были прислать вместе с ca-bundle.
В итоге у меня получилось, вот так.
Преобразование p7b в pem
Попробует такое преобразование.
Преобразование pem в key
Теперь получим файл с расширением key, для этого есть вот такая команда:
Вас попросят указать пароль от pem ключа.
В итоге я получил закрытый ключ в формате key.
Осталась финишная прямая.
Преобразование pfx в pem
Теперь приступаем к получению фала в формате Pem. Положите в папку с дистрибутивом файл в формате pfx.
Вас попросят указать пароль от Pfx архива, вы его задавали при экспорте, после чего нужно придумать пароль на pem файл.
В папке с дистрибутивом OpenSSL вы обнаружите файл key.pem, он нам нужен будет для следующего этапа.
Установка openssl для windows
Теперь нам необходимо наш файл pfx переделать в pem, Pem преобразовать в key:
Вы получите из этих трех файлов, нужный для импорта pfx архив. Во всем этом нам поможет утилита OpenSSL для Windows.
Файл cer
Файл CER ипользуется для хранения сертификата X.509.
Он предоставляется и выдается CA (центром сертификации), который проверяет подлинность веб-сайта.
Он содержит информацию о владельце сертификата и открытом ключе.
Файл pem
PEM (Privacy Enhanced Mail) – это файл ASCII в кодировке bas64. Этот формат используется для хранения и отправки криптографических ключей, сертификатов и других промежуточных сертификатов.
В приведенном выше синтаксисе cert.pem – это имя сертификата, который вы хотите преобразовать в формат CER, а cert.cer – это имя сертификата после преобразования.
Вот таким простым образом вы можете преобразовать файл CER в PEM с помощью утилиты OpenSSL.