Creare il file PFX
Il file con l'estensione PFX indica che il certificato ha il formato PKCS#12; qui sono salvati il certificato stesso, il certificato Intermediate dell'autorità necessario all'affidabilità del certificato, e la chiave privata del certificato. Lo puoi immaginare come un archivio in cui è stato depositato tutto ciò che ti serve per installare il certificato.
Con noi puoi creare la chiave pubblica insieme alla CSR, ma devi essere tu stesso a salvare la chiave privata (per una successiva installazione del certificato).
Quando ti serve creare il PFX? Si tratta soprattutto delle seguenti situazioni:
- Vuoi installare il certificato su Windows Server (l'IIS), ma la richiesta della CSR non è stata creata nell'IIS.
- Il certificato ti serve per Windows Server ma non hai a disposizione l'IIS per generare la CSR.
- Hai creato la CSR nell'SSLmarket e hai salvato la chiave privata. Adesso vuoi installare il certificato su Windows Server.
Creazione del PFX tramite OpenSSL
OpenSSL è una libreria (software) accessibile da ogni sistema operativo Unix. Se hai un server Unix o lavori in Linux, di sicuro troverai OpenSSL tra i programmi disponibili.
In OpenSSl è necessario riunire le chiavi che sono state salvate separatamente, in un solo file PFX (PKCS#12). Ciò è possibile utilizzando il seguente comando:
openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatekey.key -out output.pfx
Inserita la password che protegge il certificato, nella directory (in cui ti trovi) sarà creato il file output.pfx (nel comando sopraindicato hai scelto il nome del file).
Creazione del PFX in Windows (Server dotato di IIS)
Creazione del PFX sulla base di un certificato esistente
Tramite la console MMC, un certificato esistente può essere esportato come file PFX dallo storage dei certificati del sistema operativo Windows. Puoi optare per questa procedura anche su Windows Server se l'IIS salva i certificati nello storage dei certificati.
Il web server IIS consente di esportare il certificato esistente nel PFX direttamente dalla lista dei certificati sul server. La chiave privata e la CSR vengono creati durante la creazione della richiesta CSR nell'ISS e il certificato emesso viene reimportato videoistruzioni).
L'esportazione è molto semplice: clicca con il tasto destro sul certificato in questione e seleziona Esporta. Selezionata la password di protezione, il file PFX viene salvato sul disco.
Importazione del nuovo certificato e creazione del PFX
Questa procedura purtroppo non è disponibile. Lo storage dei certificati Windows non permette di importare separatamente la chiave privata dal file e per questo motivo nella console MMC, diversamente da OpenSSL, non potrai riunire le chiavi nel PFX. Sul web server IIS puoi importare soltanto il PFX, quindi vale la stessa cosa del caso precedente.
Se vuoi importare un nuovo certificato su Windows Server e il server non dispone di una chiave privata (non hai creato la richiesta CSR sul server), puoi procedere nel seguente modo:
- Puoi creare il file PFX dalle chiavi separate in un programma grafico ed evitare in tal modo la necessità di usare OpenSSL nel terminale.
- Creare una nuova richiesta (richiesta CSR) sul server ed eseguire una cosiddetta riemissione del certificato.
Crea un PFX utilizzando un'applicazione di terze parti
Puoi creare il file PFX dalle chiavi separate in un programma grafico ed evitare in tal modo la necessità di usare OpenSSL nel terminale.
A tali fini, il migliore programma è l'applicazione opensource XCA. In questo programma intuitivo puoi gestire tutti i tuoi certificati e chiavi. Il vantaggio principale sta nell'abbinamento automatico delle chiavi corrispondenti: non devi quindi accertare quale chiave privata sia da abbinare a un certificato. L'importazione delle chiavi è semplice e l'esportazione può essere eseguita in tutti i formati conosciuti.
(Non)protezione del file PFX
Il file PFX che contiene una chiave privata è sempre protetto dalla password. Creando il PFX, scegli accuratamente la password perché che ti può proteggere anche contro gli abusi del certificato. A un hacker farebbe certamente piacere se la password del file PFX sottratto fosse "12345": potrebbe cominciare subito a utilizzare il certificato.
Il pericolo di archiviare un certificato Code Signing in un file è stato il motivo principale per il passaggio di tutti questi certificati a token. Entrambi i certificati Code Signing, sia OV che EV, devono essere memorizzati sul token e un uso improprio durante il furto è praticamente impossibile; dopo aver inserito più volte una password errata, il token viene bloccato.
In caso di necessità non esitare a contattare la nostra assistenza clienti che ti aiuterà a scegliere il certificato e risponderà a ogni tua domanda.
Ci dispiace che non ci hai trovato il necessario.
Ci aiuterai a migliorare l'articolo? Facci sapere cosa qui aspettavi e non hai scoperto.