PFX-Datei erstellen

Die Dateiendung PFX steht für ein Zertifikat in dem Format PKCS#12. In diesem sind das Zertifikat, das Intermediate Zertifikat der Zertifizierungsstelle, das die Vertrauenswürdigkeit des Zertifikats sicherstellt, und der private Schlüssel zu dem Zertifikat gespeichert. Die Datei können Sie sich als ein Archiv vorstellen, in dem alles vorhanden ist, was Sie für die Einsetzung des Zertifikats benötigen.

SSLMARKET ERMÖGLICHT ABSICHTLICH NICHT, DEN PRIVATEN SCHLÜSSEL VON DER KUNDENVERWALTUNG HERUNTERZULADEN, denn dies würde die Speicherung des privaten Schlüssels in unserem System voraussetzen. Und eben diesem möchten wir ausweichen.

Den privaten Schlüssel können Sie bei uns zusammen mit der CSR-Anforderung erstellen, aber speichern (für die nachfolgende Installierung des Zertifikats) müssen Sie den privaten Schlüssel selbst.

Wann können Sie PFX benötigen? Vor allem in den folgenden Situationen:

Sie möchten das Zertifikat auf den Windows Server (in dem IIS-Manager) installieren, aber der CSR-Schlüssel wurde nicht in IIS erstellt.
Das Zertifikat benötigen Sie für den Windows Server, aber das IIS für die Generierung von CSR steht Ihnen nicht zur Verfügung.
Den CSR-Schlüssel haben Sie in unserem SSLmarket erstellt und den privaten Schlüssel gespeichert. Nun möchten Sie das Zertifikat auf den Windows Server einsetzen.

Für diese und andere Situationen bringen wir Ihnen eine Anleitung.

PFX mit OpenSSL erstellen

OpenSSL ist eine in jedem Unix-Operationssystem verfügbare Bibliothek (Programm). Falls Sie einen Linux-Server haben oder in einem auf Linux basierten Programm arbeiten, dann finden Sie OpenSSL bestimmt in dem Angebot.

In OpenSSL müssen Sie den separat gespeicherten Schlüssel in eine PFX (PKCS#12) Datei übertragen. Dies können Sie mit dem folgenden Befehl tun: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateekey.key -out output.pfx

Nachdem Sie das Passwort eingeben, mit dem das Zertifikat geschützt wird, wird in dem Adressbuch, in dem Sie sich befinden, eine Datei output.pfx erstellt – den Namen wählen Sie nach dem Befehl oben aus.

PFX auf einem Windows Server erstellen (Server mit IIS)

PFX vom existierenden Zertifikat erwerben

In dem Windows-Operationssystem können Sie ein existierendes Zertifikat aus dem Zertifikatsspeicher als eine PFX-Datei exportieren, mittels der Konsole MMC. Für diese Vorgehensweise können Sie sich auch im Fall eines Windows Web Servers entscheiden, falls das IIS die Zertifikate in den Zertifikatsspeicher platziert.

Der Webserver IIS ermöglicht das existierende Zertifikat in PFX direkt aus der Liste der Zertifikate auf dem Server zu exportieren. Der private Schlüssel und der CSR-Code werden während der Erstellung der CSR-Anforderung in IIS generiert und nach der Ausstellung wird das Zertifikat dorthin zurück importiert (beide Schritte sind für die einzelnen Windows-Versionen in unseren Anleitungen beschrieben).

Der Export ist sehr einfach – Sie klicken das betreffende Zertifikat mit der rechten Taste an und wählen Exportieren. Nach der Eingabe des Passwortes, das die PFX-Datei schützt, wird das Zertifikat auf den Datenträger gespeichert.

Import eines neuen Zertifikats und Erstellung von PFX

Diese Vorgehensweise ist leider nicht möglich. Der Zertifikatspeicher in Windows unterstützt den Import des privaten Schlüssels über eine Datei nicht, deshalb können Sie in der MMC Konsole die Schlüssel in PFX wie bei OpenSSL nicht verbinden. Auf den Webserver IIS können Sie also wieder nur die PFX importieren.

Falls Sie auf den Windows Server ein neues Zertifikat importieren möchten und auf dem Server befindet sich der private Schlüssel nicht (die CSR-Anforderung haben Sie auf dem Server nicht erstellt), können Sie folgendermaßen fortschreiten:

Die PFX anderswo erstellen (z.B. in OpenSSL) und das Zertifikat nachfolgend mit PFX importieren.
Auf dem Server eine neue Anforderung (CSR-Request) erstellen und sog. Reissue (Neuausstellung) von dem Zertifikat durchführen.

Reissue bedeutet, dass das Zertifikat kostenlos neuausgestellt wird und dass Sie es zu dem bestehenden privaten Schlüssel importieren werden können. Diese Operation können Sie selbst in der Kundenverwaltung durchführen.

PFX in einer Drittanbieter-Anwendung erstellen

Die PFX-Datei können Sie aus selbständigen Schlüsseln in einem grafischen Programm erstellen und somit der Nutzung von Kommandozeilen in OpenSSL ausweichen.

Als das beste Programm für diesen Zweck empfehlen wir Ihnen die Opensource Anwendung XCA. In diesem intuitiven Programm können Sie alle Ihre Zertifikate und Schlüssel verwalten. Den Hauptvorteil stellt eine automatische Zuordnung der Schlüssel zueinander dar, Sie müssen nicht nachforschen, welcher privater Schlüssel zu welchem Zertifikat passt. Import der Schlüssel ist einfach und der Export ist in alle Formate möglich.

Programm XCA für die Schlüsselverwaltung

(Un)Sicherheit der PFX-Datei

Die PFX Datei wird immer mit einem Passwort geschützt, weil sie den privaten Schlüssel enthält. Bei der Erstellung der Datei wählen Sie das Passwort verantwortungsvoll, denn dieses kann Sie auch vor dem Missbrauch des Zertifikats schützen. Den Angreifer würde nur erfreuen, sollte das Passwort zu der entwendeten Datei „12345“ sein – umso schneller könnte er das Zertifikat missbrauchen.

Die gefährliche Speicherung der Code Signing OV Zertifikate in der PFX-Datei stellte den Hauptgrund für den Übergang aller Code Signing Zertifikate auf ein Token dar. Sowohl das Code Signing OV als auch das Code Signing EV Zertifikat ist auf einem Token gespeichert und sein Missbrauch im Fall eines Diebstahls ist praktisch ausgeschlossen: falls das Passwort mehrmals falsch eingegeben wird, wird das Token blockiert.

War für Sie dieser Artikel nützlich?

Infozentrum

SSLmarket app