Creare il file PFX

Il file con l'estensione PFX indica che il certificato ha il formato PKCS#12; qui sono salvati il certificato stesso, il certificato Intermediate dell'autorità necessario all'affidabilità del certificato, e la chiave privata del certificato. Lo puoi immaginare come un archivio in cui è stato depositato tutto ciò che ti serve per installare il certificato.

L'SSLmarket non permette di scaricare la chiave privata dall'amministrazione perché tale operazione richiederebbe previo salvataggio della chiave privata nel nostro sistema. Questo da noi non può accadere.

Con noi puoi creare la chiave pubblica insieme alla CSR, ma devi essere tu stesso a salvare la chiave privata (per una successiva installazione del certificato).

Quando ti serve creare il PFX? Si tratta soprattutto delle seguenti situazioni:

Vuoi installare il certificato su Windows Server (l'IIS), ma la richiesta della CSR non è stata creata nell'IIS.
Il certificato ti serve per Windows Server ma non hai a disposizione l'IIS per generare la CSR.
Hai creato la CSR nell'SSLmarket e hai salvato la chiave privata. Adesso vuoi installare il certificato su Windows Server.

Creazione del PFX tramite OpenSSL

OpenSSL è una libreria (software) accessibile da ogni sistema operativo Unix. Se hai un server Unix o lavori in Linux, di sicuro troverai OpenSSL tra i programmi disponibili.

In OpenSSl è necessario riunire le chiavi che sono state salvate separatamente, in un solo file PFX (PKCS#12). Ciò è possibile utilizzando il seguente comando: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatekey.key -out output.pfx

Inserita la password che protegge il certificato, nella directory (in cui ti trovi) sarà creato il file output.pfx (nel comando sopraindicato hai scelto il nome del file).

Creazione del PFX in Windows (Server dotato di IIS)

Creazione del PFX sulla base di un certificato esistente

Tramite la console MMC, un certificato esistente può essere esportato come file PFX dallo storage dei certificati del sistema operativo Windows. Puoi optare per questa procedura anche su Windows Server se l'IIS salva i certificati nello storage dei certificati.

Il web server IIS consente di esportare il certificato esistente nel PFX direttamente dalla lista dei certificati sul server. La chiave privata e la CSR vengono creati durante la creazione della richiesta CSR nell'ISS e il certificato emesso viene reimportato videoistruzioni).

L'esportazione è molto semplice: clicca con il tasto destro sul certificato in questione e seleziona Esporta. Selezionata la password di protezione, il file PFX viene salvato sul disco.

Importazione del nuovo certificato e creazione del PFX

Questa procedura purtroppo non è disponibile. Lo storage dei certificati Windows non permette di importare separatamente la chiave privata dal file e per questo motivo nella console MMC, diversamente da OpenSSL, non potrai riunire le chiavi nel PFX. Sul web server IIS puoi importare soltanto il PFX, quindi vale la stessa cosa del caso precedente.

Se vuoi importare un nuovo certificato su Windows Server e il server non dispone di una chiave privata (non hai creato la richiesta CSR sul server), puoi procedere nel seguente modo:

Puoi creare il file PFX dalle chiavi separate in un programma grafico ed evitare in tal modo la necessità di usare OpenSSL nel terminale.
Creare una nuova richiesta (richiesta CSR) sul server ed eseguire una cosiddetta riemissione del certificato.

Riemetti (reissue) significa che il certificato sarà riemesso gratuitamente e potrai importarlo alla chiave privata esistente. Puoi eseguire da solo questa procedura nell'amministrazione cliente.

Crea un PFX utilizzando un'applicazione di terze parti

Puoi creare il file PFX dalle chiavi separate in un programma grafico ed evitare in tal modo la necessità di usare OpenSSL nel terminale.

A tali fini, il migliore programma è l'applicazione opensource XCA. In questo programma intuitivo puoi gestire tutti i tuoi certificati e chiavi. Il vantaggio principale sta nell'abbinamento automatico delle chiavi corrispondenti: non devi quindi accertare quale chiave privata sia da abbinare a un certificato. L'importazione delle chiavi è semplice e l'esportazione può essere eseguita in tutti i formati conosciuti.

Programma XCA per la gestione delle chiavi di crittografia

(Non)protezione del file PFX

Il file PFX che contiene una chiave privata è sempre protetto dalla password. Creando il PFX, scegli accuratamente la password perché che ti può proteggere anche contro gli abusi del certificato. A un hacker farebbe certamente piacere se la password del file PFX sottratto fosse "12345": potrebbe cominciare subito a utilizzare il certificato.

Il pericolo di archiviare un certificato Code Signing in un file è stato il motivo principale per il passaggio di tutti questi certificati a token. Entrambi i certificati Code Signing, sia OV che EV, devono essere memorizzati sul token e un uso improprio durante il furto è praticamente impossibile; dopo aver inserito più volte una password errata, il token viene bloccato.

In caso di necessità non esitare a contattare la nostra assistenza clienti che ti aiuterà a scegliere il certificato e risponderà a ogni tua domanda.

Ti è stato utile questo articolo?

Aiuto