Конвертация CRT в PFX
Каждый раз обновляя внешний сертификат на сервере SfB Edge и Reverse Proxy сталкиваюсь с проблемой. Данный факт происходит раз в 2-3 года, поэтому не сразу вспоминаешь что и как. Основная проблема в том, что на данных серверах стоит Microsoft IIS. Как известно IIS принимает сертификаты только в формате PFX. Мне же крипто провайдер присылает сертификат в формате CRT. Рассмотрим как выглядит конвертация CRT в PFX.
Помимо файла сертификата крипто провайдер также присылает файл с ключом. Обычно он в файле с разрешением .key, но может и просто в текстовом.
Перерыв стандартные возможности оснастки Сертификаты я не смог найти нужного мне пункта. Интернет также не сразу дал ответ. Еще раз озвучу задачу: нужно установить сертификат на IIS в формате PFX вместе с закрытым ключом.
Конвертация CRT в PFX
Конвертация происходит с помощью утилиты openssl версия для Windows. Удобство данной утилиты в том, что она уже установлена в большинстве дистрибутивов Linux. Итак приступим:
openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt
После выполнения команды потребуется ввести пароль, придумайте его сами (он потребуется при импорте сертификате на IIS)
Рассмотрим команды подробнее:
- domain.name.pfx – название файла куда будет экспортирован сертификат в формате PFX
- domain.name.key – файл с закрытым ключом
- domain.name.crt – файл сертификата в формате CRT
Полученный сертификат в формате pfx устанавливаем на IIS сервер
Установка сертификата в IIS
Запускаем оснастку IIS Manager и заходим в Server Certificates
Справа вверху появится меню Actions нажмем на кнопку Import
В открывшемся окне выбираем файл с сертификатом, вводим пароль что указывали выше при конвертации и нажимаем OK
На этом все, далее просто выбираете сайт к которому необходимо применить сертификат.
Спасибо
После конвертирования слетает цепочка сертификатов.
Винда пишет: в цепочке сертификатов отсутствует один или несколько промежуточных сертификатов.
Несколько раз делал сертификаты по данной инструкции, всегда все на месте. Попробуйте сменить версию утилиты openssl и проверить правильность ввода параметров для конвертации