SSLmentor

Certificats TLS/SSL de qualité pour sites Web et projets Internet.

Connexion
OpenSSL

OpenSSL

Exporter le certificat en PFX

Instructions pour exporter la clé privée, le certificat, y compris les certificats intermédiaires de l’autorité de certification du format PEM (X.509) au format PFX, adapté à l’installation sur un serveur Windows avec IIS (Internet Information Server).

Exportation à l’aide d'OpenSSL

Pour travailler avec des certificats, vous devez avoir la bibliothèque OpenSSL installée. Consultez la page OpenSSL pour Windows et Mac OSX pour les instructions et les liens de téléchargement.

Préparation du certificat

Nous aurons besoin des fichiers de clé privée et de certificat pour l'exportation. Enregistrez tout dans 3 fichiers - clé privée (.key), clé publique (.pem) et un fichier contiendra des clés intermédiaires de l'autorité de certification (.pem). Pour l'exportation, il n'importe pas que les fichiers aient l'extension .PEM ou .TXT et la désignation dépend de votre choix. En termes d'orientation, la clé privée devrait être nommée .KEY.

  • fichier de clé privée (enregistré lors de la génération dans le Panneau de configuration ou OpenSSL)
  • fichier de certificat d'une autorité de certification (clé publique certifiée)
  • fichier avec des certificats intermédiaires de l'autorité de certification

Les fichiers contiennent des certificats au format PEM. Les clés commencent et se terminent sur -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, la clé privée -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----.

Exportation de PEM à PFX (PKCS#12)

Pour l'exportation dans OpenSSL, nous utiliserons la commande pkcs12 avec des paramètres définis :

openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem

Ou, par exemple, si nous avons des fichiers de clé au format TXT :

pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile ca.txt

Après le démarrage, vous devrez entrer un mot de passe + confirmation (min. 4 caractères), le certificat est ensuite exporté vers le fichier cert.pfx.
Si les fichiers ne se trouvent pas dans le répertoire en cours d'utilisation, vous devez spécifier un chemin. Les fichiers de certificat peuvent également avoir une extension .txt, comme indiqué dans l'image.

OpenSSL - exporter le certificat en PFX

Vérifier le fichier de clé .pfx

Après l'exportation, nous recommandons de vérifier le fichier .pfx pour voir si tous les certificats ont été insérés correctement.

openssl pkcs12 -info -nodes -in cert.pfx

Erreurs potentielles lors de l'exportation

Erreur lors de l'ouverture du fichier d'entrée key/cert.txt
 key/cert.txt: Fichier ou répertoire introuvable
Vérifiez le chemin et les noms de fichier des clés.

Impossible de charger le certificat
Vérifiez le format PEM correct du certificat et son contenu commençant par -----BEGIN CERTIFICATE-----.

Travailler avec des clés dans PFX

Pour exporter une clé privée chiffrée depuis .pfx, utilisez la commande : openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
Le mot de passe pour le chiffrement doit comporter au moins 4 caractères.

Déchiffrement de la clé privée : openssl rsa -in key-crypt.key -out key.key

Exporter le certificat (clé publique) au format .crt : openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt

Exportation du certificat en PFX sans clé privée

Exportation du certificat en PFX sans clé privée : openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem

Exportation du certificat en PFX sans clé privée avec des certificats intermédiaires de l'autorité de certification : openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem

Conversion de certificat entre différents formats

Avec OpenSSL, diverses conversions entre formats peuvent être effectuées à l'aide des commandes suivantes.

Convertir PEM → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
Convertir PEM → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
Convertir DER → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
Convertir P7B → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Convertir P7B → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
Convertir PFX → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes

Prochaine étape?

Retour à l'aide
Vous avez trouvé une erreur ou vous ne comprenez pas quelque chose ? Écrivez-nous !

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum