Pfx файл сертификата как установить

Pfx файл сертификата как установить

Добрый день уважаемые читатели, в прошлый раз я вам рассказывал, о том, что такое csr запрос и мы его генерировали на IIS сервере, далее нам его нужно было передать в удостоверяющий центр для выпуска основного сертификата сервера, мы выбрали для этих целей сертификат comodo на 3 года от компании Emaro. Все замечательно, сертификат прислали, но есть одно но, когда вы попытаетесь импортировать сертификат в формате crt в IIS сервере, то получите предложение, только на импорт pfx формата, и если его не, то ошибку, что сертификат не содержит закрытого ключа. Давайте смотреть как это решить.

Для чего нужно преобразование сертификатов

Тут ответ, очень простой, все дело в формате работы с ними у каждой программы, будь то IIS или же Apache сервер. Более подробно про виды сертификатов и их назначение, я вам посоветую прочитать вот эту статью.

Давайте я подробнее покажу как выглядит ошибка импортирования сертификата. Во первых когда вы получаете от comodo ваш архив с сертификатами, то там будет два файла:

Попытавшись на сервере IIS произвести их импорт вы увидите вот такую картинку.

И тут нет ничего удивительного, так как это не pfx архив, то в нем нет нужного приватного ключа. Для его получения придется слегка постараться.

Как получить PFX ключ на IIS

нажимаем сочетание клавиш WIN+R и вводим mmc, для вызова оснастки. Я вам уже рассказывал о ее применении и удобстве для системного администратора.

Далее вам необходимо через меню «Файл» добавить новую оснастку.

Находим сертификаты и нажимаем кнопку «Добавить»

В следующем окне выбираем «для учетной записи компьютера»

подтверждаем, что нас интересует локальный компьютер.

Далее находим пункт «Запросы заявок на сертификат», тут вы обнаружите ваш запрос, находите его и через правый клик экспортируете его.

У вас откроется мастер экспорта сертификатов

Далее вы выбираете «Да, экспортировать закрытый ключ»

Ставим галку «Включить по возможности все сертификаты в путь сертификации» и начинаем наш экспорт PFX архива.

Теперь мастер экспорта, просит вас указать два раза нужный вам пароль, для защиты pfx архива.

Через кнопку обзор, указываем место сохранения вашего файла.

Как видим, все успешно выгружено.

Установка OpenSSL для Windows

Теперь нам необходимо наш файл pfx переделать в pem, Pem преобразовать в key:

Вы получите из этих трех файлов, нужный для импорта pfx архив. Во всем этом нам поможет утилита OpenSSL для Windows.

В итоге у вас будет архив, распакуйте его куда вам будет угодно. Далее выберите вашу папку, зажмите SHIFT и щелкните по ней правым кликом, в открывшемся контекстном меню, выберите пункт «Открыть окно команд».

В результате чего у вас откроется командная строка Windows, но уже в нужной папке содержащей утилиту openssl.exe, она нам и поможет все сделать красиво.

Преобразование PFX в PEM

Теперь приступаем к получению фала в формате Pem. Положите в папку с дистрибутивом файл в формате pfx.

Вас попросят указать пароль от Pfx архива, вы его задавали при экспорте, после чего нужно придумать пароль на pem файл.

В папке с дистрибутивом OpenSSL вы обнаружите файл key.pem, он нам нужен будет для следующего этапа.

Преобразование PEM в KEY

Теперь получим файл с расширением key, для этого есть вот такая команда:

Вас попросят указать пароль от pem ключа.

В итоге я получил закрытый ключ в формате key.

Тут вся проблема, что в вашем pem файле просто нет закрытого ключа, в результате чего вы и получаете данную ошибку.

Осталась финишная прямая.

Получаем PFX ключ для импорта в IIS

Теперь когда у вас есть все составляющие, вы можете выполнить последнюю команду для создания PFX файла для IIS сервера.

Задаем пароль для pfx файла, потребуется при импортировании.

В итоге вы получаете нужный вам файл, который можно загружать на ваш почтовый сервер.

Что делать если нет сертификата в запросах заявок на сертификат

Бывают ситуации, что на вашем сервере по каким-то причинам, в папке запросы на сертификат, может не оказаться вашего, в этом случае вам необходимо будет перейти в этой же mmc в раздел «Личное-Сертификаты». Выбираем нужный и делаем экспорт.

Появится мастер экспорта сертификатов.

Обратите внимание, что в pfx выгрузить не получится, но это не страшно, нам подойдет и p7b, но с включенной галкой «Включить по возможности все сертификаты в путь сертификации»

Указываем путь сохраняемого файла.

Видим, что все успешно выполнено.

Преобразование p7b в pem

Попробует такое преобразование.

В итоге я получил файл new.pyatilistnik.ru.pem

Ну, а дальше уже по инструкции сверху. Если у вас выскочит ошибка, по типу

Преобразование CRT в PEM

Кладем так же все в одну папку, файл crt вам должны были прислать вместе с ca-bundle.

В итоге у меня получилось, вот так.

Импорт профилей сертификатов PFX

Применяется к: Configuration Manager (текущая ветвь)

Узнайте, как создать профиль сертификата путем импорта учетных данных из внешних сертификатов. В этой статье освещаются конкретные сведения о профилях сертификатов обмена персональными данными (PFX). Дополнительные сведения о создании и настройке этих профилей см. в профилей сертификатов.

Configuration Manager поддерживает различные типы магазинов сертификатов для различных устройств и версий ОС. Например, Windows 10 и Windows 10 Mobile. Дополнительные сведения см. в предпосылок профилей сертификатов.

Используйте Диспетчер конфигурации для импорта учетных данных сертификатов, а затем предоставления файлов PFX на устройства. Эти файлы можно использовать для создания пользовательских сертификатов для поддержки зашифрованного обмена данными.

Пошаговая прогулка по этому процессу см. в блоге «Создание и развертывание профилей сертификатов PFX в диспетчере конфигурации».

Создание профиля

В консоли Configuration Manager перейдите в рабочее пространство Assets and Compliance, расширьте требования Параметры, расширьте доступ к ресурсам компании, а затем выберите профили сертификатов.

На вкладке Главная лента в группе Create выберите Создать профиль сертификата.

На общей странице мастера профилей сертификатов укажите следующие сведения:

Имя. Введите уникальное имя для профиля сертификата. Можно использовать не более 256 символов.

Описание. В описании представлен обзор профиля сертификата, который помогает идентифицировать его в консоли Configuration Manager. Можно использовать не более 256 символов.

Параметр Create запрашивает сертификат от имени пользователя из подключенного локального органа сертификата (CA). Этот процесс обеспечивает надежную доставку сертификата клиентам в качестве файлов PFX. Дополнительные сведения см. в справке Create PFX certificate profiles using a certificate authority.

На странице сертификата PFX мастера создания профилей сертификатов укажите поставщика хранения ключей устройства (KSP):

На странице Поддерживаемые платформы выберите поддерживаемые платформы устройств.

Завершите работу мастера.

Развертывание профиля

После создания и предоставления профиля сертификата он теперь доступен в узле Профилей сертификатов. Дополнительные сведения о его развертывании см. в странице Развертывание профилей доступа к ресурсам.

Назначение основных пользователей

Назначьте целевых пользователей в качестве основных пользователей на Windows 10 устройствах, где необходимо установить сертификаты PFX. Дополнительные сведения см. в сродствоустройств пользователя.

Подготовка сценария создания PFX

Чтобы импортировать сертификат PFX, используйте следующие команды диспетчера конфигурации PowerShell для предоставления скрипта Create PFX:

Сценарий примера

Чтобы открыть файл PFX для профиля сертификата для пользователя, откройте PowerShell на компьютере с консолью Configuration Manager. Измените переменные значениями из среды.

ИТ База знаний

Полезно

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Установка SSL сертификата на IIS – сервере

Простой способ сделать HTTPS

Подключение по HTTPS – признак надежности и безопасной передачи данных. Чтобы реализовать безопасное подключение по HTTPS, нужно иметь SSL сертификат. В статье расскажем, как сгенерировать самоподписанный сертификат (self signed), а также как импортировать файл сертификата в формате .pfx. После, покажем установку и применение сертификатов к сайту в веб – сервере Microsoft IIS (Internet Information Services).

Интенсив по Виртуализации VMware vSphere 7

Самое важное про виртуализацию и VMware vSphere 7 в 2-х часовом онлайн-интесиве от тренера с 30 летним стажем. Для тех, кто начинает знакомство с виртуализацией и хочет быстро погрузиться в предметную область и решения на базе VMware

В статье мы используем IIS (Internet Information Services) версии 10.0.14393.0

Создание и установка самоподписанного сертификата

Открываем IIS Manager. Далее, в меню слева (раздел Connections) нажимаем на корень (как правило это хостнейм вашей машины) и в открывшейся в центральной части рабочей области дважды кликаем левой кнопкой на Server Certificates:

IIS так же можно запустить из под Administrative Tools

В правом меню видим меню навигации Actions. Нажимаем на Create Self-Signed Certificate…. Открывается следующее окно:

Указываем имя для нашего сертификата и нажимаем «OK». Далее, выбираем наш сайт в меню слева:

Как только нажали на наш сайт, выбираем в правом поле меню Bindings, далее, редактируем текущее HTTPS подключение (по 443 порту) нажав Edit и выбираем сгенерированный самоподписанный SSL сертификат.

Нажимаем ОК. После, открываем командную строку cmd и перезагружаем IIS сервер командой:

Кстати, для рестарта, можно использовать просто команду iisreset без ключа restart

Аналогично как и с самоподписанным сертификатом (раздел Connections) нажимаем на корень и кликаем на Server Certificates. Далее, справа, нажимаем Import:

Открываем на .pfx файл:

Когда для вас создавали .pfx, на него установили пароль – введите этот пароль в поле ниже и нажмите OK.

Далее, все стандартно – выбираем сайт слева → Bindings → редактируем текущее подключение по 443 порту → выбираем сертификат, который только что сделали в разделе SSL certificate → нажимаем OK.

По окончанию, снова рестартуем IIS:

Администрирование MS Windows Server

Стань системным администратором и научись внедрять, управлять и поддерживать инфраструктуры MS Windows Server.

Создание профилей сертификатов PFX с помощью органа сертификации

Применяется к: Configuration Manager (текущая ветвь)

Узнайте, как создать профиль сертификата, использующий полномочия сертификации для учетных данных. В этой статье освещаются конкретные сведения о профилях сертификатов обмена персональными данными (PFX). Дополнительные сведения о создании и настройке этих профилей см. в профилей сертификатов.

Диспетчер конфигурации позволяет создать профиль сертификата PFX с помощью учетных данных, выданных органом сертификата. В качестве органа сертификации можно выбрать Microsoft или Entrust. При развертывании на устройствах пользователей PFX-файлы создают сертификаты, определенные пользователем, для поддержки зашифрованного обмена данными.

Чтобы импортировать учетные данные сертификатов из существующих файлов сертификатов, см. в профилей сертификатов Import PFX.

Предварительные требования

Прежде чем приступить к созданию профиля сертификата, убедитесь, что необходимые предпосылки готовы. Дополнительные сведения см. в странице Необходимые условия для профилей сертификатов. Например, для профилей сертификатов PFX необходима роль системной роли точки регистрации сертификатов.

Создание профиля

В консоли Configuration Manager перейдите в рабочее пространство Assets and Compliance, расширьте требования Параметры, расширьте доступ к ресурсам компании, а затем выберите профили сертификатов.

На вкладке Главная лента в группе Create выберите Создать профиль сертификата.

На общей странице мастера профилей сертификатов укажите следующие сведения:

Имя. Введите уникальное имя для профиля сертификата. Можно использовать не более 256 символов.

Описание. В описании представлен обзор профиля сертификата, который помогает идентифицировать его в консоли Configuration Manager. Можно использовать не более 256 символов.

Параметр Import получает сведения из существующего сертификата для создания профиля сертификата. Дополнительные сведения см. в профилей сертификатов Import PFX.

На странице Поддерживаемые платформы выберите версии ОС, поддерживаемые этим профилем сертификата. Дополнительные сведения о поддерживаемых версиях ОС для версии Configuration Manager см. в дополнительных сведениях о поддерживаемых версиях ОС для клиентов и устройств.

На странице Власти сертификатов выберите точку регистрации сертификатов (CRP) для обработки сертификатов PFX:

Параметры на странице сертификата PFX различаются в зависимости от выбранного ЦС на общей странице:

Настройка параметров сертификата PFX для Microsoft CA

Для имени шаблона сертификата выберите шаблон сертификата.

Чтобы использовать профиль сертификата для подписи или шифрования S/MIME, вмени использование сертификата.

Когда вы включаете этот параметр, он доставляет все сертификаты PFX, связанные с целевым пользователем, на все их устройства. Если этот параметр не включается, каждое устройство получает уникальный сертификат.

Задай формат имя субъекта как общему имени, так и полностью различаемой фамилии. Если вы не знаете, какой из них использовать, обратитесь к администратору ca.

Для альтернативного имени Subject впишите адрес электронной почты и имя принципа пользователя (UPN), соответствующие вашему ЦС.

Пороговое значение обновления: определяет, когда сертификаты будут автоматически возобновлены, исходя из процентного соотношения времени, оставшегося до истечения срока действия.

Установите срок действия сертификата до срока службы сертификата.

Если в точке регистрации сертификата указаны учетные данные Active Directory, включить публикацию Active Directory.

Если выбрана одна или несколько Windows 10 поддерживаемых платформ:

Установите хранилище Windows для пользователя. (Параметр Local Computer не развертывает сертификаты и не выбирает их.)

Выберите один из следующих поставщиков служба хранилища ключей (KSP):

Завершите работу мастера.

Настройка параметров сертификата PFX для службы доверить ЦС

Для конфигурации цифрового ID выберите профиль конфигурации. Администратор Entrust создает параметры конфигурации цифрового ID.

Чтобы использовать профиль сертификата для подписи или шифрования S/MIME, вмени использование сертификата.

Когда вы включаете этот параметр, он доставляет все сертификаты PFX, связанные с целевым пользователем, на все их устройства. Если этот параметр не включается, каждое устройство получает уникальный сертификат.

Чтобы отобрать маркеры формата «Доверить субъекту» полям Configuration Manager, выберите Format.

Диалоговое окно форматирования имен сертификатов перечисляет переменные конфигурации конфигурации Доверенные цифровые удостоверения. Для каждой переменной Доверить выберите соответствующие поля Диспетчер конфигурации.

Чтобы составить карту Маркеры альтернативного имени объекта для поддерживаемых переменных LDAP, выберите Формат.

Диалоговое окно форматирования имен сертификатов перечисляет переменные конфигурации конфигурации Доверенные цифровые удостоверения. Для каждой переменной Доверить выберите соответствующую переменную LDAP.

Пороговое значение обновления: определяет, когда сертификаты будут автоматически возобновлены, исходя из процентного соотношения времени, оставшегося до истечения срока действия.

Установите срок действия сертификата до срока службы сертификата.

Если в точке регистрации сертификата указаны учетные данные Active Directory, включить публикацию Active Directory.

Если выбрана одна или несколько Windows 10 поддерживаемых платформ:

Установите хранилище Windows для пользователя. (Параметр Local Computer не развертывает сертификаты и не выбирает их.)

Выберите один из следующих поставщиков служба хранилища ключей (KSP):

Завершите работу мастера.

Развертывание профиля

После создания профиля сертификата он теперь доступен в узле Профилей сертификатов. Дополнительные сведения о его развертывании см. в странице Развертывание профилей доступа к ресурсам.

Создание PFX сертификата из отдельных файлов с открытым и закрытым ключом

Очень часто при покупке коммерческого сертификата провайдер услуги предоставляет нам сертификат в PEM формате, т.е. отдельно предоставляется файл, содержаший сам сертификат (открытй ключ) и отдельной файл с закрытым ключом. Для того, чтобы импортировать такой сертификат в хранилище сертификатов Windows компьютера предварительно необходимо создание PFX сертификата. При этой процедеру открытый и закрытый ключ сертификата “склеиваются” в один файл, который в последующем можно без проблем импортировать в хранилище сертификатов сервера Windows.

Ниже мы рассмотрим один из способов конвертирования сертификата из PEM формата в PFX. В качестве инструмента для конвертирования мы будем использовать OpenSSL.

Необходимый инструмент

Создание PFX сертификата а из PEM сертификата штатными средствами Windows “из коробки” не поддерживается. Соответственно, мы будем использовать сторонее решение – OpenSSL for Windows.

Переходим по указанной выше ссылки и загружаем дистрибутив программного продукта:

Копия дистрибутива от 03.09.2021 доступна ниже:

Выполняем установку дистрибутива. В случае успешной установки в директории, которую вы указали при установке будет примерно следующий набор файлов:

Процедура создания PFX сертификата

Для того, чтобы выполнить непосредственную конвертацию PEM сертификата в PFX выполните следующие действия:

1. Запустить командную строку от имени администратора.

2. Перейдите в директорию bin в папке с установленным дистрибутивом OpenSSL:

3. Выполните следующую команду:

in – путь до файла с открытым ключом,

inkey – путь до файла с закрытым ключом,

out – путь до файла, в который будет конвертирован сертификат.

4. Если ваш PEM файл был защищен парольной фразой, то openssl напишем вам соответствующее сообщение. Далее вам будет необходимо указать вашу парольную фразу, которой был защищен закрытый ключ:

5. Указываем парольную фразу, которой будет защищен наш итоговый PFX файл:

6. Дожидаемся окончания процедуры конвертирования сертификата.

После завершения процедуры конвертирования в указанной нами папке будет сгенерирован сертификат в PFX формате:

Проверка PFX сертификата

Для того, чтобы проверить правильно ли было выполнено конвертирование сертификата в PFX формат, вы можете импортировать его либо в личное хранилище сертификатов текущего пользователя, либо импортировать сертификат в хранилище локального компьютера.

В результате успешного импорта мы увидим сертификат в том хранилище, куда вы выполнили импорт. Дополнительно с свойствах сертификата будет сообщение о том, что в нем присутствует закрытый ключ:

Заключение

В текущей статье мы рассмотрели процедуру конвертирования сертификата из PEM формата (с отдельными файлами для открытого и закрытого ключа) в PFX формат (файл, который включает в себя как открытый, так и закрытый ключ). Для конвертирования сертификата мы использовали утилиту OpenSSL.

Cертификаты, Windows и немного PowerShell

Введение

Сертификат – это контейнер для открытого ключа. Он включает в себя такую информацию как значение открытого ключа, имя сервера или пользователя, некоторую дополнительную информацию о сервере или пользователе, а также содержит электронную подпись, сформированную издающим центром сертификации (ЦС). Ранее мы уже писали о работе с сертификатами pfx с помощью openssl, теперь рассмотрим использование встроенных средств, а именно powershell.

Что такое сертификат PFX

Одним из самых распространенных областей применения сертификатов PFX является подпись кода (code signing). Также, в случае защиты надежным паролем pfx можно передавать по открытым каналам связи.

Логические хранилища

Логические хранилища – это виртуальные месторасположения, в которых которых локально храняться сертификаты как для пользователя так и для компьютера. Powershell использует Cert PSDrive для сопоставления сертификатов с физическими хранилищами. Наименование логических хранилищ Certificates Microsoft Management Console (MMC) отличается от маркировки хранилища Cert PSDrive. В таблице ниже показано сравнение между ними:

Модуль PKI

Чтобы перечислить все команды, доступные в модуле PKI, выполните следующую команду:

Командлеты, используемые в этой статье, описаны ниже:

Export-PfxCertificate

Командлет Export-PfxCertificate экспортирует сертификат или объект PFXData в файл Personal Information Exchange (PFX). По умолчанию экспортируются расширенные свойства и вся цепочка.

Get-Certificate

КомандлетGet-Certificate можно использовать для отправки запроса на сертификат и установки полученного сертификата, установки сертификата из запроса на сертификат, а также для регистрации в службе каталогов протокола LDAP.

Get-PfxData

Командлет Get-PfxData извлекает содержимое файла Personal Information Exchange (PFX) в структуру, содержащую сертификат конечного субъекта, любые промежуточные и корневые сертификаты.

Import-PfxCertificate

КомандлетImport-PfxCertificate импортирует сертификаты и закрытые ключи из файла PFX в локальное хранилище.

New-SelfSignedCertificate

Командлет New-SelfSignedCertificate создает самоподписанный сертификат. С помощью параметра CloneCert указанный сертификат может быть создан на основе существующего сертификата с копированием всех параметров из оригинального сертификата, за исключением открытого ключа.

Поиск и выбор сертификата

В Powershell Cert: PSDrive используется для вывода списка сертификатов в определенном хранилище. Чтобы вывести оба хранилища в Cert: PSDrive, выполните следующую команду:

Возвращаемый объект будет представлять собой сертификаты, которые можно изменить, удалить или экспортировать.

Команду Get-ChildItem можно комбинировать с Where-Object для поиска конкретных сертификатов. Приведенная ниже команда найдет сертификат, предположительно выданный Microsoft, проверяя свойство Subject сертификатов:

У выведенных в сертификатов часть значения Subject будет содержать Microsoft.

Создание сертификата

По умолчанию самоподписанный сертификат генерируется со следующими настройками:

Новые сертификаты могут быть созданы только в личных хранилищах Cert:\LocalMachine\My или Cert:\CurrentUser\My. Выполните приведенную ниже команду help для просмотра всех остальных параметров, принимаемых командой New-SelfSignedCertificate:

Установка сертификата pfx

Сертификат может быть установлен в различные места хранения, каждое место хранения имеет свое определенное назначение, но в этой статье мы будем устанавливать в четыре места Cert:\CurrentUser\My, Cert:\LocalMachine\My, Cert:\CurrentUser\Root и Cert:\LocalMachine\Root. Расположение My является личным хранилищем для ненадежных приложений, а Root – хранилищем для доверенных сертификатов.

Команда, используемая для установки общего сертификата, отличается от команды для установки сертификата PFX. Для установки сертификата pfx используется команда Powershell Import-PfxCertificate.

Чтобы установить сертификат PFX в личное хранилище текущего пользователя, используйте следующую команду:

Для установки в личное местоположение системы измените местоположение хранилища в команде выше с Cert:\CurrentUser\My на Cert:\LocalMachine\My.

Чтобы установить PFX сертификат в доверенное хранилище текущего пользователя, используйте следующую команду:

При установке в корневое расположение текущего пользователя появится диалоговое окно для подтверждения установки сертификата, но при установке в системное корневое расположение никакого диалога не появится. Для установки в системное доверенное место измените расположение хранилища в команде выше с Cert:\CurrentUser\Root на Cert:\LocalMachine\Root.

Добавление сертификата в список доверенных

Недоверенный сертификат гораздо опаснее и подозрительнее, чем отсутствие сертификата вообще, поэтому важно добавить наш сертификат в доверенные корневые сертификаты.

Проверка наличия дубликата сертификата

Чтобы избежать повторного добавления уже существующего сертификата в хранилище сертификатов, перед добавлением нового сертификата с тем же значением Subject следует проверить и удалить уже имеющийся сертификат. Powershell автоматически создает путь виртуального диска для метки cert: и ведет себя как обычный каталог. В приведенном ниже фрагменте проверяется путь cert:\LocalMachine\My хранилища сертификатов, чтобы найти сертификат по значению Subject.

Экспорт и импорт сертификата

Команды для импорта и экспорта pfx-сертификата отличаются от команд для экспорта и импорта обычного сертификата. Команда Import-PfxCertificate используется для импорта запароленного сертификата pfx, а команда Export-PfxCertificate – для экспорта сертификата из места хранения в новое местоположение файла.

Экспорт сертификата pfx

Для экспорта сертификата pfx необходим пароль для шифрования закрытого ключа. В приведенном ниже примере мы используем значение Subject для поиска экспортируемого сертификата, выбрав сертификат, значение Subject которого равно itsecforu-test.com

Импорт сертификата pfx

Скаченные или экспортированные сертификаты pfx можно установить с помощью команды Import-PfxCertificate. Для импорта требуется пароль для сертификата и местоположение.

Команда ниже импортирует сертификат pfx, который мы экспортировали ранее:

Как экспортировать сертификат cer из pfx

Для экспорта сертификата из файла pfx используется комбинированная команда Get-PfxCertificate и Export-Certificate. Get-PfxCertificate используется для поиска сертификата pfx, а Export-Certificate – для экспорта указанного сертификата в FilePath. Требуется ввод пароля от pfx контейнера Ниже приведенная команда экспортирует сертификат в кодировке DER (двоичный) из файла pfx.

Обратите внимание на параметр-Type, который используется для указания типа экспортируемого сертификата, в данном примере это сертификат CERT в кодировке DER (двоичный). Существуют и другие типы, они перечислены ниже.

Удаление сертификата

Для удаления сертификата можно использовать команду Remove-Item в Powershell. Перед удалением сертификата необходимо узнать его значение thumbprint (отпечатка) или определить сам объект сертификата.

Удаление с помощью thumbprint

В приведенном ниже фрагменте для удаления используется отпечаток сертификата…

Поиск и удаление сертификата с помощью сопоставления значений

Сертификат можно искать в хранилище с помощью команды Where-Object, которая принимает условный оператор, соответствующий искомому сертификату.

Диспетчер сертификатов Windows

Диспетчер сертификатов Windows (certmgr.msc) – это приложение с графическим интерфейсом Windows для управления сертификатами. Найдите certmgr в меню Пуск, чтобы открыть Windows Certificates MMC или введите certmgr.msc в командной строке. Вид консоли предоставляет собой обзор всех локальных хранилищ.

Сертификаты можно устанавливать, удалять, импортировать и экспортировать из диспетчера сертификатов Windows.

Pfx файл сертификата как установить

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами успешно настроили сеть на CentOS 7.6, двигаемся вперед. В сегодняшней публикации я вам хочу продемонстрировать, как вы можете выполнить экспорт сертификата или импорт сертификата из хранилища Windows. Уверен, что вы сами с легкостью можете найти кучу разных сценариев при которых вы можете использовать мою инструкцию.

Примеры сценариев при импорте и экспорте сертификата

Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.

В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.

Импорт сертификата в Windows

Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:

Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:

Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.

Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.

Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.

На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку «Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его». Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.

Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.

Завершаем мастер импорта сертификатов.

В результате импортирование сертификата успешно выполнено.

Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc «сертификаты» или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:

В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку «Сертификаты» (Подробнее по ссылке выше про mmc).

Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:\Temp\wildcard.

Далее импортируем наш сертификат. пишем команду:

Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.

Экспорт сертификата Windows

У вас откроется окно мастера экспорта сертификатов, нажимаем далее.

Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим «Да, экспортировать закрытый ключ».

Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.

В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.

Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.

Экспорт успешно выполнен.

Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:

Находим поле «Серийный номер» у нужного сертификата и копируем его.

Далее пишем команду для экспорта сертификата;

Все успешно отработало.

На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.

На этом у меня все, мы с вами разобрали алгоритм и методы по импортированию и экспортированию сертификатов в операционной системе Windows. остались вопросы или пожелания, то я жду их в комментариях. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

2 Responses to Экспорт и импорт сертификата Windows

@chcp 1251
@echo off
setlocal

set /p choice= Enter the Number (Введите номер пункта):
rem if not ‘%choice%’==» set choice=%choice:

0;1%
if ‘%choice%’==’1’ goto 1
if ‘%choice%’==’2’ goto 2
if ‘%choice%’==’3’ goto 3
if ‘%choice%’==’4’ goto 4
if not ‘%choice%’==» echo «%choice%» Bad points
cls

goto start
:1
mkdir %systemdrive%\Cert_User\
reg export «HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\%sid%\Keys» %systemdrive%\Cert_User\%username%_Cert_CryptoPro_x64.reg /y
reg export «HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\%sid%\Keys» %systemdrive%\Cert_User\%username%_Cert_CryptoPro_x32.reg /y
cls

Кратко про сертификат и ключи

Сертификат — публичен. содержит открытый ключ владельца сертификата, сведения о владельце\удостоверяющем центре\информацию по алгоритмам и т.д. и подпись УЦ, который издал этот сертификат. Он не может содержать закрытого ключа.

Открытый ключ — доступен для всех пользователей, необходим для проверки подписи\для зашифровки информации. Открытый ключ можно без опасений передавать, не рискуя при этом сохранностью данных

Закрытый ключ — необходим для подписания\для расшифровки данных. Хранение закрытого ключа осуществляется только у владельца электронной цифровой подписи

Данные шифруются с помощью открытого ключа, а расшифровать их можно только тем закрытым ключом, который связан именно с этим открытым ключом.

Открытый и закрытый ключ — парные, взаимосвязанные и уникальные. Ключи связаны за счёт математического соотношения. Подобная технология обеспечивает безопасность шифрования данных. Даже в случае перехвата информации её практически невозможно расшифровать.

Для каждого открытого ключа — существует только 1 закрытый и наоборот. Для каждого открытого ключа может существовать 1 и более сертификатов.

CSR запрос это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию о домене, на который планируется выпустить SSL сертификат и информация об организации и открытый ключ.

Вместе с CSR будет сгенерирован закрытый ключ (private key), которым сервер или сервис будет расшифровывать трафик между ним и клиентом.

Формируем запрос и выпускаем по нему наш сертификат Exchange

В exchange на заканчивающемся сертификате жмём «продлить». Формируется запрос.

Перевыпускаем сертификат в центре сертификации, указывая наш файл запроса от exchange.

С сайта скачиваем полученные после выпуска:

Установка сертификата на exchange

На ожидающий нас запрос в панели ecp панели exchange жмём «выполнить» и указываем наш Сертификат. Готово.

Его можно назначать службам либо через панель либо командой в exchange management shell

Ошибка Microsoft Exchange could not find a certificate that contains the domain name

Причём после назначения аутлук при запуске стал выдавать ошибку

Причина в том, что Exchange устанавливает самозаверяющий сертификат с именем хоста и полным доменным именем сервера, т.е. в нашем случае.

Чтобы воссоздать самозаверяющий сертификат и назначить его службе SMTP, выполните команду в exchange management shell:

Экспорт сертификата для веб-сервера

Теперь этот же сертификат поставим на наш сайт.

Из PFX в KEY и CRT с помощью openssl

Ставим себе openssl программу, настраиваем её вводя команды для работы только в первой текущей сессии через командную строку:

Извлечь закрытую часть сертификата (вместе с приватным ключом), поместив её в отдельный запароленный файл:

Закрытый ключ сертификата с парольной защитой не всегда удобно использовать на реальном окружении. Например, Apache будет спрашивать пароль при каждом рестарте сервиса, что будет требовать человеческого участия. Обойти проблему можно, сняв пароль с закрытого ключа:

Установка сертификата с ключом на веб сервер

У нас есть сертификат, ключ, а также цепочка из корневого и промежуточного (которые получили вначале), теперь их можно установить на веб сервер.

Всё поставилось без проблем. Это самый простой и быстрый вариант.

Полученный из центра сертификации сертификат с ключами можно поставить только на веб сервер. На exchange он будет ставится с проблемами и дольше гораздо. Вроде бы можно поставить новый сертификат, который встал на exchange успешно с прошлым ключом на веб-сервер — нет, нельзя, он не поставится. Поэтому алгоритм только как описан выше.

В этой статье помогают устранить ошибку, которая возникает при попытке импортировать файл закрытого сертификата ключа безопасного уровня sockets (SSL) (.pfx) в локальный магазин персональных сертификатов компьютера с помощью Microsoft IIS (IIS) Manager.

Оригинальная версия продукта: службы IIS
Исходный номер КБ: 919074

В статье содержатся сведения об изменении реестра. Перед внесением любых изменений в реестр, создайте его резервную копию. и изучить процедуру его восстановления на случай возникновения проблемы. Дополнительные сведения о том, как восстановить, восстановить и изменить реестр, см. в Windows реестра для продвинутых пользователей.

Симптомы

Невозможно импортировать файл pfx. Либо вы ввели неправильный пароль для этого файла, либо срок действия сертификата истек.

Произошла внутренняя ошибка. Это может быть либо недоступный профиль пользователя, либо закрытый ключ, который вы импортируете, может потребоваться поставщику криптографических служб, который не установлен в вашей системе.

Причина

Такое поведение происходит, когда одно или несколько из следующих условий являются верными:

Чтобы устранить это поведение, используйте одно из следующих решений, соответствующее вашей ситуации.

Разрешение 1. Установите правильные разрешения для папки MachineKeys

Если у вас недостаточно разрешений для доступа к папке на компьютере, установите правильные разрешения DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys для папки.

Дополнительные сведения о том, как установить разрешения для папки MachineKeys, см. в дополнительных сведениях о разрешениях по умолчанию для папок MachineKeys.

Разрешение 2. Удаление под ключа сторонних реестров

Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Из-за них может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Если существует следующий подкай реестра, удалите его:
HKEY_USERS\Default\Software\Microsoft\Cryptography\Providers\Type 001

После удаления этого под ключа реестра IIS может получить доступ к поставщику криптографических служб.

Разрешение 3. Локальное хранение профиля пользователя для сеанса служб терминалов

Если профиль пользователя для сеанса служб терминалов не хранится локально на сервере с включенной службой терминалов, переместим профиль пользователя на сервер, на который включены службы терминалов. Кроме того, используйте профили роуминга.

Статус

Такое поведение является особенностью данного продукта.

Pfx файл сертификата как установить

Инструкции администратора

Инструкция по работе с сертификатами пользователей в системе DIRECTUM

Экспорт сертификата и закрытого ключа

Закрытый ключ и сертификат для пользователя следует экспортировать в файлы. Будет получено два файла: сертификат с расширением «. CER » для регистрации в системе DIRECTUM и закрытый ключ с расширением «.PFX» для установки на компьютере пользователя.

Экспорт сертификата в файл «.CER»

· Шаг 1. На компьютере, где был запрошен сертификат пользователя, запустить Internet Explorer;

· Шаг 2. В окне Internet Explorer:

· выбрать из верхнего меню Сервис/Свойства обозревателя;

· перейти на закладку «Содержание»;

· нажать кнопку Сертификаты…;

· Шаг 3. В окне «Сертификаты»:

· перейти на закладку «Личные»;

· выбрать из списка сертификат, который нужно экспортировать;

· нажать кнопку Экспорт;

· Шаг 4. Окно «Мастер экспорта сертификатов»:

· Шаг 5. Окно «Мастер экспорта сертификатов»/ «Экспортирование закрытого ключа»:

· установить переключатель «Нет, не экспортировать закрытый ключ»;

· Шаг 6. Окно «Мастер экспорта сертификатов»/ «Формат экспортируемого файла»:

· установить переключатель «Файлы в DER-кодировке X.509 (.CER)»;

· Шаг 7. Окно «Мастер экспорта сертификатов»/ «Имя файла экспорта»:

· указать путь и имя файла, в который будет экспортирован сертификат, для задания пути можно воспользоваться кнопкой Обзор…;

· Шаг 8. Окно «Мастер экспорта сертификатов»/«Завершение работы мастера экспорта сертификатов»:

· Шаг 9. Окно «Мастер экспорта сертификатов»:

Экспорт закрытого ключа в файл «.PFX»

· Шаг 1. В окне Internet Explorer:

· выбрать из верхнего меню Сервис/Свойства обозревателя;

· перейти на закладку «Содержание»;

· нажать кнопку Сертификаты…;

· Шаг 2. В окне «Сертификаты»:

· перейти на закладку «Личные»;

· выбрать из списка сертификат, который нужно экспортировать;

· нажать кнопку Экспорт;

· Шаг 3. Окно «Мастер экспорта сертификатов»:

· Шаг 4. Окно «Мастер экспорта сертификатов»/ «Экспортирование закрытого ключа»:

· установить переключатель «Да, экспортировать закрытый ключ»;

· Шаг 5. Окно «Мастер экспорта сертификатов»/ «Формат экспортируемого файла»:

· установить переключатель «Файл обмена личной информацией – PKCS #12 (.PFX)»;

· установить галочки «Включить по возможности все сертификаты в путь сертификата», «Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше)», «Удалить закрытый ключ после успешного экспорта»;

· Шаг 6. Окно «Мастер экспорта сертификатов»/«Пароль»:

· ввести пароль на доступ к сертификату и подтверждение пароля;

· Шаг 7. Окно «Мастер экспорта сертификатов»/ «Имя файла экспорта»:

· указать путь и имя файла, в который будет экспортирован сертификат, для задания пути можно воспользоваться кнопкой Обзор…;

· Шаг 8. Окно «Мастер экспорта сертификатов»/«Завершение работы мастера экспорта сертификатов»:

· Шаг 9. Окно «Мастер экспорта сертификатов»:

Полученный файл с расширением «. PFX » будет использован для импорта закрытого ключа на компьютер пользователя.