Créer un fichier PFX

Un fichier avec l'extension .pfx correspond à un certificat au format PKCS#12 qui inclut le certificat SSL, les certificats intermédiaires (qui garantissent la fiabilité du certificat) et la clé privée. Vous pouvez le considérer comme une archive contenant tout ce dont vous avez besoin pour l'installation du certificat.

Quand pouvez-vous avoir besoin d'un fichier PFX ? Surtout dans les situations suivantes :

  • Vous souhaitez installer le certificat sur le serveur Windows (dans le gestionnaire IIS), mais la clé CSR n'a pas été créée dans IIS.
  • Vous avez besoin du certificat pour Windows Server, mais le service IIS permettant de générer la CSR n'est pas disponible.
  • Vous avez créé la clé CSR dans notre SSLmarket et enregistré la clé privée. Maintenant, vous voulez utiliser le certificat sur le serveur Windows.
  • Vous avez acheté un certificat Code Signing et vous avez besoin du fichier PFX pour la signature.

Pour ces situations, nous vous apportons un guide.

Créer un fichier PFX avec OpenSSL

OpenSSL est une bibliothèque (programme) disponible dans tous les systèmes d'exploitation Unix. Si vous avez un serveur Linux ou vous travaillez dans un programme basé sur Linux, vous trouverez certainement OpenSSL parmi les applications disponibles.

Dans OpenSSL, vous devez transférer la clé stockée séparément dans un fichier PFX (PKCS#12). Vous pouvez le faire avec la commande suivante : openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out output.pfx

Après avoir saisi un mot de passe protégeant le certificat, vous allez créer un fichier output.pfx (le nom de fichier est saisi dans la commande ci-dessus).

Créer un fichier PFX sur un serveur Windows (Serveur IIS)

Créer un fichier PFX à partir du certificat existant

Pour exporter un certificat existant du magasin de certificats de Microsoft Windows, vous devez utiliser la console MMC. Vous pouvez également utiliser cette procédure sur un serveur Windows.

Un serveur web IIS permet d'exporter un certificat existant dans le format PFX directement à partir de la liste des certificats sur le serveur. La clé privée et le code CSR sont générés lors de la création de la demande de CSR dans IIS, puis il faut importer le certificat émis. Pour plus d'information, veuillez consulter notre guide vidéo).

Le processus d'exportation est simple : cliquez sur le certificat du bouton droit et choisissez Exporter. Après avoir choisi un mot de passe, le fichier PFX sera enregistré sur votre disque dur.

Export d'un certificat SSL depuis serveur IIS

Importer un nouveau certificat et créer un fichier PFX

Le système d'exploitation Windows ne permet pas d'importer la clé privée depuis un fichier. Par conséquent, vous ne pouvez pas enregistrer les clés dans un fichier .pfx à l'aide de la console MMC (comme dans l'outil OpenSSL). Vous pouvez uniquement importer un PFX.

Si vous souhaitez importer un nouveau certificat sur le serveur Windows et que la clé privée ne se trouve pas sur le serveur (vous n'avez pas créé la demande de CSR sur le serveur), procédez comme suit :

  • Créez le PFX ailleurs (par exemple dans OpenSSL), puis importez le certificat avec PFX.
  • Créer une nouvelle requête CSR (demande CSR) sur le serveur et effectuez ce que l'on appelle la réémission du certificat.
"Reissue" signifie une nouvelle émission du certificat gratuit. Vous pouvez utiliser la clé privée existante. Pour effectuer cette opération, rendez-vous sur votre espace client.

Créer un fichier PFX dans une application tierce

Si vous ne souhaitez pas utiliser OpenSSL, vous pouvez créer un fichier PFX à l'aide de la clé privée et publique dans un programme graphique.

Le meilleur logiciel est l’application Open Source XCA. Dans ce programme intuitif, vous pouvez gérer tous vos certificats et clés. Le principal avantage est un rattachement automatique des clés correspondantes ; vous n'avez donc pas à chercher quelle clé privée correspond à quel certificat. L'importation des clés est facile et l'exportation est possible dans tous les formats.

Programme XCA pour la gestion des clés
/>

La sécurité du fichier PFX

Le fichier PFX est toujours protégé par le mot de passe, car il contient la clé privée. Lors de la création du fichier, choisissez le mot de passe soigneusement, car cela peut vous protéger contre une utilisation malveillante du certificat. Un hacker potentiel serait content de savoir, que votre mot de passe soit "12345" - plus vite il pourra commencer à utiliser votre certificat.

Avec un certificat Code signing, un hacker peut signer n'importe quel fichier au nom de votre entreprise. Il est donc important de protéger le fichier PFX ou de choisir le certificat Code Signing EV. Un certificat Code Signing EV est enregistré sur un token et son piratage est pratiquement impossible ; après plusieurs saisies incorrectes de mot de passe, l'accès à token est bloqué.

N'hésitez pas à contacter notre support technique, nos conseillers répondront à toutes vos questions et vous aideront si besoin à choisir le certificat le mieux adapté à vos attentes.