1. Domů
2. Nápověda
3. Práce s certifikáty
4. Vytvoření PFX souboru

Vytvoření PFX souboru

Soubor s koncovkou PFX značí certifikát ve formátu PKCS#12; v něm je uložen certifikát, intermediate certifikát autority nutný pro důvěryhodnost certifikátu a privátní klíč k certifikátu. Můžete si ho představit jako archiv, ve kterém je uloženo vše, co potřebujete k nasazení certifikátu.

Kdy potřebujete vytvořit PFX? Jedná se zejména o následující scénáře:

• Budete certifikát instalovat na Windows Server (IIS), ale CSR request nebyl vytvořen v IIS.
• Certifikát potřebujete pro Windows Server, ale nemáte k dispozici IIS pro vygenerování CSR.
• CSR jste vytvořili v SSLmarketu a uložili jste si privátní klíč. Nyní potřebujete certifikát nasadit na Windows Server.

Pro tyto (i jiné) situace přinášíme návod.

Vytvoření PFX pomocí OpenSSL

OpenSSL je knihovna (program) dostupná v každém unixovém operačním systému. Pokud máte linuxový server nebo pracujete na Linuxu, tak OpenSSL určitě najdete mezi dostupnými programy.

V OpenSSL je nutné samostatně uložené klíče sloužit do jednoho PFX (PKCS#12) souboru. Učiníte tak příkazem: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx

Po zadání hesla chránícího certifikát bude v adresáři (ve kterém se nacházíte) vytvořen soubor vystup.pfx (jméno souboru volíte v příkazu výše).

Vytvoření PFX na Windows (Serveru s IIS)

Vytvoření PFX z existujícího certifikátu

Z operačního systému Windows je možné existující certifikát vyexportovat z úložiště certifikátů jako soubor PFX pomocí konzole MMC. Tento postup můžete zvolit i na Windows serveru, pokud je IIS do úložiště certifikátů ukládá.

Webový server IIS umožňuje export existujícího certifikátu do PFX přímo z přehledu certifikátů na serveru. Privátní klíč a CSR se vytvoří během vytvoření CSR žádosti v IIS a po vystavení je certifikát zpět naimportován (oba kroky najdete ve videonápovědě).

Export je velice jednoduchý - kliknete na dotyčný certifikát pravým tlačítkem a vyberte Export. Po zvolení hesla chránícího PFX soubor je uložen na disk.

Import nového certifikátu a vytvoření PFX

Tento postup bohužel není možný. Úložiště certifikátů Windows neumožňuje importovat samostatný privátní klíč ze souboru, proto v konzoli MMC nesloučíte klíče do PFX jako v OpenSSL. Do webového serveru IIS můžete importovat pouze PFX, takže platí to, co v předchozím případě.

Potřebujete-li do Windows Serveru importovat nový certifikát a na serveru není privátní klíč (CSR request jste na serveru nevytvořili), můžete postupovat těmito kroky:

• Vytvořit PFX jinde (OpenSSL či jinak) a pak certifikát pomocí PFX importovat
• Vytvořit na serveru novou žádost (CSR request) a provést tzv. reissue certifikátu.

Vytvoření PFX pomocí aplikace třetí strany

Soubor PFX můžete ze samostatných klíčů vytvořit v grafickém programu a obejít tak nutnost použití OpenSSL v terminálu.

Jako nejlepší program pro tento účel je opensource aplikace XCA. V tomto intuitivním programu můžete spravovat všechny své certifikáty a klíče. Hlavní výhodou je automatické přiřazení odpovídajících klíčů k sobě; nemusíte tedy hledat, který privátní klíč patří ke kterému certifikátu. Import klíčů je jednoduchý a export můžete provést do všech známých formátů.

(Ne)bezpečnost PFX souboru

PFX soubor je vždy chráněn heslem, protože obsahuje privátní klíč. Při vytváření PFX volte heslo zodpovědně, protože vás může ochránit i před zneužitím certifikátu. Útočníka by jistě potěšilo, pokud by heslo ke ukradenému PFX souboru bylo "12345" - o to rychleji by mohl začít certifikát používat.

Nebezpečnost uložení Code Signing certifikátu v souboru byla hlavním důvodem pro přechod všech těchto certifikátů na token. Certifikát Code Signing OV i EV musí být uložen na tokenu a jeho zneužití při krádeží je prakticky vyloučeno; po několikerém špatném zadání hesla se token zablokuje.

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.