Créer un fichier PFX

Un fichier PFX (PKCS#12) est un fichier spécialement formaté qui inclut un certificat SSL, une clé privée et les certificats intermédiaires (qui garantissent la fiabilité du certificat). Vous pouvez le considérer comme une archive contenant tout ce dont vous avez besoin pour l'installation du certificat.

Quand pouvez-vous avoir besoin d'un fichier PFX ? Surtout dans les situations suivantes :

  • Vous souhaitez installer le certificat sur le serveur Windows (dans le gestionnaire IIS), mais la clé CSR n'a pas été créée dans IIS.
  • Vous avez besoin du certificat pour Windows Server, mais le service IIS permettant de générer la CSR n'est pas disponible.
  • Vous avez créé la CSR via l'outil de SSLmarket et vous avez enregistré la clé privée. Vous allez installer le certificat sur le serveur Windows.
  • Vous avez acheté un certificat Code Signing et vous avez besoin du fichier PFX pour la signature.

Dans ce tutoriel, nous vous montrons différentes façons qui vous permettront de créer un fichier pfx.

Créer un fichier PFX avec OpenSSL

OpenSSL est une bibliothèque (programme) disponible dans tous les systèmes d'exploitation Unix. Si vous avez un serveur Linux ou vous travaillez dans un programme basé sur Linux, vous trouverez certainement OpenSSL parmi les applications disponibles.

Dans OpenSSL, vous devez transférer la clé stockée séparément dans un fichier PFX (PKCS#12). Vous pouvez le faire avec la commande suivante : openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatniklic.key -out output.pfx

Saisissez un mot de passe protégeant le certificat et créez le fichier output.pfx (le nom du fichier est saisi dans la commande ci-dessus).

Créer un fichier PFX sur un serveur Windows (Serveur IIS)

Créer un fichier PFX pour votre certificat émis

Pour exporter un certificat existant du magasin de certificats du système Windows, utilisez la console MMC. La même procédure peut être utilisé pour les serveurs Windows.

Un serveur IIS permet d'exporter un certificat au format PFX directement à partir de la liste des certificats sur le serveur. La clé privée et le code CSR sont générés lors de la création de la demande de CSR dans IIS. Utilisez le certificat sur le serveur. Pour plus d'information, veuillez consulter notre guide vidéo).

Pour exporter le fichier .pfx : cliquez sur le certificat du bouton droit et choisissez Exporter. Choisissez un mot de passe, le fichier PFX sera enregistré sur votre disque dur.

Export d'un certificat SSL depuis serveur IIS

Importer un nouveau certificat et créer un fichier PFX

Le système Windows ne permet pas d'utiliser un fichier pour importer la clé privée. Il n'est donc pas possible d'enregistrer la clé dans un fichier .pfx à l'aide de la console MMC (avec l'outil OpenSSL). Pour importer un certificat au serveur Windows, vous devez utiliser un fichier spécialement formaté .pfx.

Si vous souhaitez importer un nouveau certificat sur le serveur Windows et la clé privée ne se trouve pas sur le serveur (vous n'avez pas créé la demande de CSR sur le serveur), procédez comme suit :

  • Créez le fichier PFX (par exemple dans OpenSSL) et importez-le au serveur.
  • Créez une nouvelle demande CSR et lancez une réémission du certificat.
Une réémission ("Reissue") signifie une nouvelle émission du certificat gratuite. Pour lancer la réémission du certificat, veuillez vous rendre sur l'espace client.

Créer un fichier PFX dans une application tierce

Si vous souhaitez éviter l'OpenSSL, vous pouvez créer le fichier PFX dans un programme graphique.

Nous vous recommandons d'utiliser l’application Open Source XCA. Dans ce programme intuitif, vous pouvez gérer tous les certificats et les clés. Le principal avantage est une attribution automatique de clés ; vous n'avez donc pas à chercher quelle clé privée correspond à quel certificat. L'importation des clés est facile et l'exportation est possible dans tous les formats.

Programme XCA pour la gestion des clés
/>

Sécurité du fichier PFX

Puisque un fichier .pfx contient une clé privée, il est toujours protégé par un mot de passe. Choisissez un mot de passe fort pour le protéger contre des utilisations malveillantes du certificat. Un hacker potentiel serait content de savoir que votre mot de passe soit "12345" et plus vite il va pouvoir commencer à utiliser votre certificat.

Avec un certificat Code signing, un hacker peut signer n'importe quel fichier au nom de votre entreprise. Il est donc important de protéger le fichier PFX ou de choisir le certificat Code Signing EV. Un certificat Code Signing EV est enregistré sur un token et son piratage est pratiquement impossible ; après plusieurs saisies incorrectes de mot de passe, l'accès à token est bloqué.

N'hésitez pas à contacter notre support technique, nos conseillers répondront à toutes vos questions et vous aideront si besoin à choisir le certificat le mieux adapté à vos attentes.