Créer un fichier PFX

Un fichier avec l'extension .pfx inclut un certificat SSL, une clé privée et des certificats intermédiaires. Il s'agit tout simplement d'un fichier contenant tout ce dont vous avez besoin pour l'installation d'un certificat.

Quand est-ce que j'ai besoin d'un fichier PFX ?

  • Vous allez installer un certificat sur Windows Server (IIS), mais la requête CSR n'a pas été créée dans IIS.
  • Vous avez besoin d'un certificat pour Windows Server, mais vous avez pas l'accès à IIS pour générer une CSR.
  • Vous avez créé la CSR dans SSLmarket et vous avez enregistré la clé privée. Vous allez devoir procéder à l'installation du certificat sur Windows Serveur.
  • Vous avez un certificat Code Signing et vous avez besoin de fichier PFX pour les signatures.

Voici quelques informations importantes.

Créer un fichier PFX à l'aide de OpenSSL

OpenSSL est un outil accessible dans tout les systèmes d'exploitation Linux. Si vous avez un serveur Linux ou vous travaillez sous Linux, vous trouverez sûrement OpenSSL parmi les programmes disponibles.

Dans OpenSSL, les clés doivent être enregistrées dans un fichier PFX (PKCS#12). Pour le faire, utilisez la commande suivante : openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out vystup.pfx

Après avoir saisi un mot de passe qui protégera votre certificat, vous allez créer un fichier vystup.pfx (le nom de fichier est saisi dans la commande ci-dessus).

Créer un fichier PFX sous Windows (Serveur IIS)

Créer un fichier PFX d'un certificat existant

Pour exporter un certificat existant du magasin de certificats de Microsoft Windows, veuillez utiliser la console MMC. Vous pouvez utiliser ce processus également sur un serveur Windows.

Un serveur web IIS permet d'exporter un certificat existant dans le format PFX directement depuis le dossier de certificats sur le serveur. Vous allez utiliser votre clé privée que vous avez sauvegardé lors la création du CSR. Pour plus d'information, veuillez consulter notre guide vidéo).

Le processus d'exportation est simple : cliquez sur le certificat du bouton droit et choisissez Export. Après avoir choisi un mot de passe, le fichier PFX sera enregistré sur votre disque dur.

Export d'un certificat SSL depuis serveur IIS

Importer un nouveau certificat et créer un fichier PFX

Le système d'exploitation Windows ne permet pas d'importer la clé privée depuis un fichier. Par conséquent, vous ne pouvez pas enregistrer les clés dans un fichier .pfx à l'aide de la console MMC (comme dans l'outil OpenSSL). Vous pouvez uniquement importer un PFX.

Si vous avez besoin d'importer un nouveau certificat sur un serveur, où il ne se trouve pas la clé privée (vous n'avez pas créé de demande de CSR sur le serveur), vous pouvez procéder de manière suivante :

  • Créer un PFX ailleurs (par exemple dans OpenSSL) et importer le certificat à l'aide d'un fichier .pfx.
  • Créer une nouvelle requête CSR et réémettre le certificat.
"Reissue" signifie une nouvelle émission de certificat pour l’importer sur un serveur, en utilisant la clé privée existante. Vous avez la possibilité de réémettre un certificat dans votre espace client.

Utiliser une application tierce pour créer un fichier PFX

Si vous ne souhaitez pas utiliser OpenSSL, vous pouvez créer un fichier PFX à l'aide de la clé privée et publique dans un logiciel graphique.

Le meilleur logiciel est l’application Open Source XCA. Dans ce programme intuitif, vous pouvez gérer tous vos certificats et clés. Le principal avantage est un rattachement automatique des clés correspondantes ; vous n'avez donc pas à chercher quelle clé privée appartient à quel certificat. L'importation des clés est simple et vous pouvez exporter vers tous les formats connus.

program XCA pro správu šifrovacích klíčů

Avec un certificat Code signing, un hacker peut signer n'importe quel fichier au nom de votre entreprise. Il est donc important de protéger le fichier PFX ou de choisir le certificat Code Signing EV. Un certificat Code Signing EV est enregistré sur un token et son piratage est pratiquement impossible ; après plusieurs saisies incorrectes de mot de passe, l'accès à token est bloqué.

N'hésitez pas à contacter notre support technique, nos conseillers répondront à toutes vos questions et vous aideront si besoin à choisir le certificat le mieux adapté à vos attentes.