SSLmentor

Certificati TLS/SSL di qualità per siti web e progetti su internet.

Accesso Clienti
OpenSSL

OpenSSL

Esporta certificato in formato PFX

Istruzioni per esportare la chiave privata, il certificato, inclusi i certificati intermedi dell'autorità di certificazione dal formato PEM (X.509) al formato PFX, che è adatto per l'installazione su un server Windows con IIS (Internet Information Server).

Esportazione utilizzando OpenSSL

Per lavorare con i certificati, è necessario avere installata la libreria OpenSSL. Vedi la pagina OpenSSL per Windows e Mac OSX per istruzioni e link per il download.

Preparazione del certificato

Saranno necessari file di chiave privata e certificato per l'esportazione. Salva tutto in 3 file - chiave privata (.key), chiave pubblica (.pem) e un file sarà con chiavi intermedie dall'autorità di certificazione (.pem). Per l'esportazione, non importa se i file hanno l'estensione .PEM o .TXT e la designazione dipende dalla tua scelta. In termini di orientamento, la chiave privata dovrebbe essere denominata .KEY.

  • file di chiave privata (salvato durante la generazione nel Pannello di controllo o con OpenSSL)
  • file di certificato da un'autorità di certificazione (chiave pubblica certificata)
  • file con certificati intermedi dell'autorità di certificazione

I file contengono certificati in formato PEM. Le chiavi iniziano e terminano su -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, la chiave privata -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----.

Esporta PEM in PFX (PKCS#12)

Per l'esportazione in OpenSSL utilizzeremo il comando pkcs12 con i parametri impostati:

openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem

Oppure, ad esempio, se abbiamo file di chiave in formato TXT:

pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile cabundle.txt

Dopo l'avvio, ti verrà richiesto di inserire una password + conferma (min. 4 caratteri), il certificato verrà quindi esportato nel file cert.pfx.
Se i file non si trovano nella directory in uso, è necessario specificare un percorso. I file di certificato possono anche avere un'estensione .txt, come mostrato nella figura.

OpenSSL - esporta certificato in formato PFX

Controlla il file chiave .pfx

Dopo l'esportazione, ti consigliamo di controllare il file .pfx per verificare se tutti i certificati sono stati inseriti correttamente.

openssl pkcs12 -info -nodes -in cert.pfx

Potenziali errori di esportazione

Error opening input file key/cert.txt
 key/cert.txt: No such file or directory
Controlla il percorso e i nomi dei file delle chiavi.

Unable to load certificate
Controlla il formato del certificato PEM corretto e il contenuto che inizia con -----BEGIN CERTIFICATE-----.

Lavorare con le chiavi in PFX

Per esportare una chiave privata crittografata da .pfx, utilizzare il comando: openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
La password per la crittografia deve essere lunga almeno 4 caratteri.

Decrittazione della chiave privata: openssl rsa -in key-crypt.key -out key.key

Esporta il certificato (chiave pubblica) in formato .crt: openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt

Esportazione del certificato in PFX senza chiave privata

Esportazione del certificato in PFX senza chiave privata: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem

Esportazione del certificato in PFX senza chiave privata con certificati intermedi CA: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem

Conversione del certificato tra diversi formati

Con OpenSSL, è possibile eseguire varie conversioni tra formati utilizzando i seguenti comandi.

Converti PEM → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
Converti PEM → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
Converti DER → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
Converti P7B → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Converti P7B → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
Converti PFX → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes

Cosa fare dopo?

Torna alla Guida
Hai trovato un errore o non capisci qualcosa? Scrivici!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum