Wie erstelle ich eine PFX-Datei aus Zertifikat und privatem Schlüssel?

Ich benötige eine PFX-Datei, um https auf der Website von IIS zu installieren.

Ich habe zwei separate Dateien: Zertifikat (.cer oder pem) und privaten Schlüssel (.crt), aber IIS akzeptiert nur .pfx-Dateien.

Ich habe das Zertifikat offensichtlich installiert und es ist im Zertifikat-Manager (mmc) verfügbar, aber wenn ich den Zertifikatsexport-Assistenten auswähle, kann ich das PFX-Format nicht auswählen (es ist ausgegraut).

Gibt es dafür Tools oder C # -Beispiele dafür?

Sie müssen openssl verwenden.

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

Die Schlüsseldatei ist nur eine Textdatei mit Ihrem privaten Schlüssel.

Wenn Sie eine Stammzertifizierungsstelle und Zwischenzertifikate haben, schließen Sie diese ebenfalls mit mehreren -inParametern ein

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -in intermediate.crt -in rootca.crt

Sie können openssl von hier aus installieren: openssl

Das Microsoft Pvk2Pfx-Befehlszeilenprogramm scheint über die Funktionen zu verfügen, die Sie benötigen:

Pvk2Pfx (Pvk2Pfx.exe) ist ein Befehlszeilentool, das Informationen zu öffentlichen und privaten Schlüsseln, die in .spc-, .cer- und .pvk-Dateien enthalten sind, in eine .pfx-Datei (Personal Information Exchange) kopiert.
http://msdn.microsoft.com/en-us/library/windows/hardware/ff550672(v=vs.85).aspx

Hinweis: Wenn Sie eine C # -Lösung benötigen / möchten / bevorzugen, sollten Sie die Verwendung der API http://www.bouncycastle.org/ in Betracht ziehen .

Wenn Sie nach einer Windows-Benutzeroberfläche suchen, lesen Sie DigiCert. Ich habe das gerade benutzt und es war ziemlich einfach.

Auf der Registerkarte SSL habe ich zuerst das Zertifikat importiert. Nachdem ich das Zertifikat ausgewählt hatte, konnte ich es als PFX mit und ohne Schlüsseldatei exportieren.

https://www.digicert.com/util

Sie brauchen KEIN OpenSL oder Makecert oder irgendetwas davon. Sie benötigen auch nicht den persönlichen Schlüssel, den Sie von Ihrer Zertifizierungsstelle erhalten haben. Ich kann fast garantieren, dass das Problem darin besteht, dass Sie erwarten, die von Ihrer Zertifizierungsstelle bereitgestellten Schlüssel- und Cer-Dateien verwenden zu können, aber sie basieren nicht auf dem "IIS-Weg". Ich bin es so leid, hier draußen schlechte und schwierige Informationen zu sehen, dass ich beschlossen habe, das Thema und die Lösung zu bloggen. Wenn du merkst, was los ist und siehst, wie einfach es ist, wirst du mich umarmen wollen :)

SSL-Zertifikate für IIS mit PFX ein für alle Mal - SSL und IIS erklärt - http://rainabba.blogspot.com/2014/03/ssl-certs-for-iis-with-pfx-once-and-for.html

Verwenden Sie die IIS-Benutzeroberfläche "Serverzertifikate", um "Zertifikatanforderung zu generieren" (die Details dieser Anforderung fallen nicht in den Geltungsbereich dieses Artikels, diese Details sind jedoch kritisch). Dadurch erhalten Sie eine für IIS vorbereitete CSR. Anschließend geben Sie diese CSR an Ihre Zertifizierungsstelle weiter und fordern ein Zertifikat an. Dann nehmen Sie die CER / CRT-Datei, die sie Ihnen geben, und kehren zu IIS "Complete Certificate Request" an der Stelle zurück, an der Sie die Anfrage generiert haben. Möglicherweise wird nach einer .CER gefragt, und Sie haben möglicherweise eine .CRT. Sie sind das gleiche. Ändern Sie einfach die Erweiterung oder verwenden Sie die .Dropdown-Liste zur Erweiterung, um Ihre .CRT auszuwählen. Geben Sie jetzt einen richtigen "freundlichen Namen" an (* .IhreDomäne.com, IhreDomäne.com, foo.IhreDomäne.com usw.). DIES IST WICHTIG! Dies MUSS mit dem übereinstimmen, wofür Sie die CSR eingerichtet haben und was Ihre Zertifizierungsstelle Ihnen bereitgestellt hat. Wenn Sie nach einem Platzhalter gefragt haben, muss Ihre Zertifizierungsstelle einen Platzhalter genehmigt und generiert haben, und Sie müssen diesen verwenden. Wenn Ihre CSR für foo.yourdomain.com generiert wurde, MÜSSEN Sie dies in diesem Schritt angeben.

Ich habe eine PFX-Datei aus .key- und .pem-Dateien erstellt.

So was openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out rootCA.pfx

https://msdn.microsoft.com/en-us/library/ff699202.aspx

((relevante Zitate aus dem Artikel sind unten))

Als Nächstes müssen Sie die PFX-Datei erstellen, mit der Sie Ihre Bereitstellungen signieren. Öffnen Sie ein Eingabeaufforderungsfenster und geben Sie den folgenden Befehl ein:

PVK2PFX –pvk yourprivatekeyfile.pvk –spc yourcertfile.cer –pfx yourpfxfile.pfx –po yourpfxpassword

wo:

• pvk - yourprivatekeyfile.pvk ist die private Schlüsseldatei, die Sie in Schritt 4 erstellt haben.
• spc - yourcertfile.cer ist die Zertifikatdatei, die Sie in Schritt 4 erstellt haben.
• pfx - yourpfxfile.pfx ist der Name der PFX-Datei, die erstellt wird.
• po - yourpfxpassword ist das Kennwort, das Sie der PFX-Datei zuweisen möchten. Sie werden zur Eingabe dieses Kennworts aufgefordert, wenn Sie die PFX-Datei zum ersten Mal einem Projekt in Visual Studio hinzufügen.

(Optional (und nicht für das OP, sondern für zukünftige Leser) können Sie die .cer- und .pvk-Datei von Grund auf neu erstellen) (Sie würden dies VOR dem oben Gesagten tun). Beachten Sie, dass MM / TT / JJJJ Platzhalter für Start- und Enddatum sind. Eine vollständige Dokumentation finden Sie im msdn-Artikel.

makecert -sv yourprivatekeyfile.pvk -n "CN=My Certificate Name" yourcertfile.cer -b mm/dd/yyyy -e mm/dd/yyyy -r

Sie müssen das Makecert-Tool verwenden.

Öffnen Sie eine Eingabeaufforderung als Administrator und geben Sie Folgendes ein:

makecert -sky exchange -r -n "CN=<CertificateName>" -pe -a sha1 -len 2048 -ss My "<CertificateName>.cer"

Wobei <CertifcateName>= der Name Ihres zu erstellenden Zertifikats.

Anschließend können Sie das Zertifikatmanager-Snap-In für die Verwaltungskonsole öffnen, indem Sie im Startmenü certmgr.msc eingeben, auf Personal> Zertifikate> klicken und Ihr Zertifikat sollte verfügbar sein.

Hier ist ein Artikel.

https://azure.microsoft.com/documentation/articles/cloud-services-certs-create/

Ich habe einen Link zu Ihrer Anforderung. Kombinieren Sie CRT- und KEY-Dateien mit OpenSSL zu einem PFX

Auszüge aus dem obigen Link:

Zuerst müssen wir das Zertifikat der Stammzertifizierungsstelle aus der vorhandenen CRT-Datei extrahieren, da wir dies später benötigen. Öffnen Sie also die .crt-Datei und klicken Sie auf die Registerkarte Zertifizierungspfad.

Klicken Sie auf das oberste Zertifikat (in diesem Fall VeriSign) und klicken Sie auf Zertifikat anzeigen. Wählen Sie die Registerkarte Details und klicken Sie auf In Datei kopieren.

Wählen Sie das Base-64-codierte X.509 (.CER) -Zertifikat aus. Speichern Sie es als rootca.cer oder ähnliches. Legen Sie es im selben Ordner wie die anderen Dateien ab.

Benennen Sie es von rootca.cer in rootca.crt um. Jetzt sollten wir 3 Dateien in unserem Ordner haben, aus denen wir eine PFX-Datei erstellen können.

Hier brauchen wir OpenSSL. Wir können es entweder unter Windows herunterladen und installieren oder einfach das Terminal unter OSX öffnen.

BEARBEITEN:

1. Es gibt einen Support-Link mit schrittweisen Informationen zur Installation des Zertifikats.

2. Exportieren Sie nach erfolgreicher Installation das Zertifikat, wählen Sie das .pfxFormat und schließen Sie den privaten Schlüssel ein.

   Wichtiger Hinweis :: Um das Zertifikat im PFX-Format zu exportieren, müssen Sie die Schritte auf demselben Computer ausführen, von dem Sie das Zertifikat angefordert haben .

3. Die importierte Datei kann auf den Server hochgeladen werden.

Dies ist bei weitem der einfachste Weg, * .cer in * .pfx-Dateien zu konvertieren:

Laden Sie einfach den Konverter für tragbare Zertifikate von DigiCert herunter: https://www.digicert.com/util/pfx-certificate-management-utility-import-export-instructions.htm

Führen Sie es aus, wählen Sie eine Datei aus und holen Sie sich Ihre * .pfx !!

Wenn Sie sagen, dass das Zertifikat in MMC verfügbar ist, ist es unter "Aktueller Benutzer" oder "Lokaler Computer" verfügbar? Ich habe festgestellt, dass ich den privaten Schlüssel nur exportieren kann, wenn er sich unter Lokaler Computer befindet.

Sie können das Snap-In für Zertifikate zu MMC hinzufügen und auswählen, für welches Konto Zertifikate verwaltet werden sollen. Wählen Sie Lokaler Computer. Wenn Ihr Zertifikat nicht vorhanden ist, importieren Sie es, indem Sie mit der rechten Maustaste auf das Geschäft klicken und Alle Aufgaben> Importieren wählen.

Navigieren Sie nun zu Ihrem importierten Zertifikat unter der lokalen Computerversion des Zertifikats-Snap-Ins. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Alle Aufgaben> Exportieren. Auf der zweiten Seite des Exportassistenten sollten Sie gefragt werden, ob Sie den privaten Schlüssel exportieren möchten. Wählen Sie Ja. Die PFX-Option ist jetzt die einzige verfügbare Option (sie ist abgeblendet, wenn Sie Nein auswählen und die Option zum Exportieren des privaten Schlüssels unter dem Konto "Aktueller Benutzer" nicht verfügbar ist.)

Sie werden aufgefordert, ein Kennwort für die PFX-Datei und anschließend den Zertifikatsnamen festzulegen.

Ich hatte das gleiche Problem. Mein Problem war, dass der Computer, der die erste Zertifikatanforderung generiert hatte, abgestürzt war, bevor der erweiterte SSL-Validierungsprozess abgeschlossen war. Ich musste einen neuen privaten Schlüssel generieren und dann das aktualisierte Zertifikat vom Zertifikatanbieter importieren. Wenn der private Schlüssel auf Ihrem Computer nicht vorhanden ist, können Sie das Zertifikat nicht als pfx exportieren. Die Option ist ausgegraut.

Obwohl es wahrscheinlich am einfachsten ist, eine neue CSR mit IIS zu generieren (wie @rainabba sagte), gibt es unter der Annahme, dass Sie über die Zwischenzertifikate verfügen, einige Online-Konverter - zum Beispiel: https://www.sslshopper.com/ssl-converter. html

Auf diese Weise können Sie aus Ihrem Zertifikat und Ihrem privaten Schlüssel eine PFX erstellen, ohne ein anderes Programm installieren zu müssen.

In den meisten Fällen, wenn Sie das Zertifikat nicht als PFX exportieren können (einschließlich des privaten Schlüssels), liegt dies daran, dass MMC / IIS den privaten Schlüssel (der zum Generieren der CSR verwendet wird) nicht finden kann / keinen Zugriff darauf hat. Dies sind die Schritte, die ich ausgeführt habe, um dieses Problem zu beheben:

• Führen Sie MMC als Admin aus
  • Generieren Sie die CSR mit MMC. Befolgen Sie diese Anweisungen , um das Zertifikat exportierbar zu machen.
• Wenn Sie das Zertifikat von der Zertifizierungsstelle erhalten haben (crt + p7b), importieren Sie es (Personal \ Certificates und Intermediate Certification Authority \ Certificates).
• WICHTIG: Klicken Sie mit der rechten Maustaste auf Ihr neues Zertifikat (Persönlich \ Zertifikate). Alle Aufgaben. Verwalten Sie den privaten Schlüssel und weisen Sie Ihrem Konto oder jedem Berechtigungen zu (riskant!). Sie können zu vorherigen Berechtigungen zurückkehren, sobald Sie fertig sind.
• Klicken Sie nun mit der rechten Maustaste auf das Zertifikat und wählen Sie Alle Aufgaben ... Exportieren. Sie sollten das Zertifikat einschließlich des privaten Schlüssels als PFX-Datei exportieren und in Azure hochladen können!

Hoffe das hilft!

Ich weiß, dass einige Benutzer darüber gesprochen haben, dies und das zu installieren, Befehlszeilenprogramme hinzuzufügen und ...

Persönlich bin ich faul und finde all diese Methoden umständlich und langsam. Außerdem möchte ich nichts herunterladen und die richtigen cmd-Zeilen finden, wenn ich nicht muss.

Der beste Weg für mich auf meinem persönlichen IIS-Server ist die Verwendung von RapidSSLOnline. Mit diesem Tool auf einem Server können Sie Ihr Zertifikat und Ihren privaten Schlüssel hochladen und eine pfx-Datei für Sie generieren, die Sie direkt in IIS importieren können.

Der Link ist hier: https://www.rapidsslonline.com/ssl-tools/ssl-converter.php

Nachfolgend sind die Schritte aufgeführt, die für das angeforderte Szenario verwendet werden.

1. Wählen Sie Aktueller Typ = PEM
2. Ändern Sie für = PFX
3. Laden Sie Ihr Zertifikat hoch
4. Laden Sie Ihren privaten Schlüssel hoch
5. Wenn Sie über ein ROOT CA-Zertifikat oder Zwischenzertifikate verfügen, laden Sie diese ebenfalls hoch
6. Legen Sie ein Kennwort Ihrer Wahl fest, das in IIS verwendet wird
7. Klicken Sie auf das reCaptcha, um zu beweisen, dass Sie kein Bot sind
8. Klicken Sie auf Konvertieren

Und das war's, Sie sollten eine PFX herunterladen und diese in Ihrem Importprozess auf IIS verwenden.

Hoffe, dies hilft anderen gleichgesinnten, faulen Technikern.

Für cfx-Dateien von SSLForFree finde ich diese https://decoder.link/converter am einfachsten.

Stellen Sie einfach sicher, dass PEM -> PKCS # 12 ausgewählt ist, laden Sie dann die Zertifikats-, ca_bundle- und Schlüsseldateien hoch und konvertieren Sie sie. Merken Sie sich das Passwort, laden Sie es mit dem von Ihnen verwendeten Passwort hoch und fügen Sie Bindungen hinzu.