Créer un fichier PFX
Un fichier PFX (PKCS#12) est un fichier spécialement formaté qui inclut un certificat SSL, une clé privée et des certificats intermédiaires (qui garantissent la fiabilité du certificat). Vous pouvez le considérer comme une archive contenant tout ce dont vous avez besoin pour l'installation du certificat.
Lors de la génération d'une CSR pour un certificat SSL, la clé privée est créée automatiquement. Pour générer la demande CSR, vous pouvez utiliser notre outil. La fonctionnalité est disponible lors de la commande, et aussi pour le certificat déjà commandé. N'oubliez pas que la clé privée doit être sauvegardée dans votre disque dur ; vous l'utiliserez lors de l'installation du certificat.
Pour quand avez-vous besoin de fichier .pfx ?
- Vous installez le certificat sur Windows IIS, mais vous n'avez pas la demande CSR en attente (vous ne l'avez pas crée dans IIS).
- Vous avez besoin d'un certificat pour Windows Server IIS et le service pour générer une demande CSR n'est pas disponible.
- Vous avez créé la CSR lors de la commande, vous avez la clé privée et vous êtes en train d'installer votre certificat sur le serveur.
Créer un fichier PFX avec OpenSSL
OpenSSL est une bibliothèque (programme) disponible dans tous les systèmes d'exploitation Unix. Si vous avez un serveur Linux ou vous travaillez dans un programme basé sur Linux, vous trouverez l'OpenSSL parmi les applications.
Dans OpenSSL, vous devez utiliser le fichier de clé privée privateKey.key et le combiner avec le certificat. Créez le fichier PFX (PKCS#12) en utilisant la commande suivante :
openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateKey.key -out output.pfx
Saisissez le mot de passe protégeant le certificat et créez le fichier output.pfx (le nom du fichier est saisi dans la commande ci-dessus).
Créer un fichier PFX sur le serveur Windows (Serveur IIS)
Créer un fichier PFX pour votre certificat émis
Trouvez votre certificat actif dans le magasin de certificats. Utilisez la console MMC. La même procédure peut être utilisée également pour les serveurs IIS.
Un serveur IIS permet d'exporter un certificat au format PFX directement à partir de la liste des certificats sur le serveur (la clé privée et le code CSR ont été générés lors de la création de la demande de CSR dans IIS). Par défaut, votre certificat se trouve sous “Personnel” -> “Certificats”. Pour en savoir plus, vous pouvez consulter nos guides vidéo.
Exportation du fichier .pfx : cliquez sur le certificat du bouton droit et choisissez Exporter. Définissez un mot de passe pour la clé privée, le fichier PFX sera enregistré sur votre disque dur.
Importer un nouveau certificat et créer un fichier PFX
Le système Windows ne permet pas d'importer la clé privée séparément. Vous devez utiliser le fichier spécialement formaté .pfx.
Si vous souhaitez importer un nouveau certificat sur le serveur Windows et la clé privée ne se trouve pas sur le serveur (vous n'avez pas créé la demande de CSR sur le serveur), vous devez créer le fichier .pfx :
- Créez le fichier PFX (par exemple dans votre espace client de SSLmarket) et importez-le au serveur.
- Si vous n'avez pas la clé privée, demandez une réémission du certificat.
Créer un fichier PFX dans une application tierce
Si vous souhaitez éviter OpenSSL, vous pouvez créer le fichier PFX dans un programme graphique.
Nous vous recommandons d'utiliser l’application Open Source XCA. Dans ce programme intuitif, vous pouvez gérer tous les certificats et les clés. Le principal avantage est une attribution automatique de clés ; vous n'avez donc pas à chercher quelle clé privée correspond à quel certificat. L'importation des clés est facile et l'exportation est possible dans tous les formats.
Sécurité du fichier PFX
Puisque un fichier .pfx contient une clé privée, il est toujours protégé par un mot de passe. Choisissez un mot de passe fort. Un hacker potentiel serait content de savoir que votre mot de passe soit "12345" et plus vite il va pouvoir commencer à utiliser votre certificat.
Les règles d'industrie ont été modifiées et le fichier .pfx est considéré comme non sécurisé pour tous les certificats Code Signing. Les certificats Code Signing et Code Signing EV doivent être stocké sur un token USB, d'où le vol de la clé privée est pratiquement impossible. Si le mot de passe n'est pas saisi correctement, le token sera bloqué et le certificat définitivement supprimé.
N'hésitez pas à contacter notre support technique, nos conseillers répondront à toutes vos questions et vous aideront si besoin à choisir le certificat le mieux adapté à vos attentes.
Nous sommes désolés que vous n'ayez pas trouvé les informations que vous recherchiez.
Aidez-nous à améliorer cet article. Vous cherchez autre chose ? N'hésitez pas à nous écrire.