PFX-Datei erstellen

Die Dateiendung PFX steht für ein Zertifikat in dem Format PKCS#12. In diesem sind das Zertifikat, das Intermediate Zertifikat der Zertifizierungsstelle, das die Vertrauenswürdigkeit des Zertifikats sicherstellt, und der private Schlüssel zu dem Zertifikat gespeichert. Die Datei können Sie sich als ein Archiv vorstellen, in dem alles vorhanden ist, was Sie für die Einsetzung des Zertifikats benötigen.

SSLmarket ermöglicht absichtlich nicht, den privaten Schlüssel von dem Kundenzentrum herunterzuladen, denn dies würde die Speicherung des privaten Schlüssels in unserem System voraussetzen. Und eben diesem Schritt möchten wir ausweichen.

Den privaten Schlüssel können Sie bei uns zusammen mit der CSR-Anforderung erstellen, aber speichern (für die nachfolgende Installierung des Zertifikats) müssen Sie den privaten Schlüssel selbst.

Wann können Sie PFX benötigen? Vor allem bei den folgenden Szenarios:

  • Sie möchten das Zertifikat auf den Windows Server (in dem IIS-Manager) installieren, aber die CSR-Anforderung wurde nicht in IIS erstellt.
  • Das Zertifikat benötigen Sie für den Windows Server, aber IIS für die Generierung von CSR steht Ihnen nicht zur Verfügung.
  • Den CSR-Schlüssel haben Sie in unserem SSLmarket erstellt und den privaten Schlüssel gespeichert. Nun müssen Sie das Zertifikat auf den Windows Server einsetzen.
  • Sie haben ein Code Signing Zertifikat erworben und die PFX-Datei benötigen Sie fürs Signieren.

Für diese und andere Situationen bringen wir Ihnen eine Anleitung.

PFX mit OpenSSL erstellen

OpenSSL ist eine in jedem Unix-Operationssystem verfügbare Bibliothek (Programm). Falls Sie einen Linux-Server haben oder auf Linux arbeiten, dann finden Sie OpenSSL bestimmt unter den angebotenen Programmen.

In OpenSSL müssen Sie den separat gespeicherten Schlüssel in eine PFX (PKCS#12) Datei übertragen. Dies können Sie mit dem folgenden Befehl tun: openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateekey.key -out output.pfx

Nachdem Sie das Passwort ausfüllen, mit dem das Zertifikat geschützt wird, wird in dem Adressbuch, in dem Sie sich befinden, eine Datei output.pfx erstellt – den Namen wählen Sie nach dem Befehl oben.

PFX auf Windows Server erstellen

PFX vom existierenden Zertifikat erwerben

Von dem Windows-Operationssystem können Sie ein existierendes Zertifikat von dem Zertifikatsspeicher als eine PFX-Datei exportieren, mittels der Konsole MMC. Für diese Vorgehensweise können Sie sich auch im Fall eines Windows Servers entscheiden, unter der Bedingung, dass IIS die Zertifikate in den Zertifikatspeicher platziert.

Der Webserver IIS ermöglicht das existierende Zertifikat in PFX direkt von der Liste der Zertifikate auf dem Server zu exportieren. Der private Schlüssel und der CSR-Code werden während der Erstellung der CSR-Anforderung in IIS generiert und nach der Ausstellung wird das Zertifikat zurück importiert (beide Schritte sind für die einzelnen Windows-Versionen in unseren Anleitungen beschrieben).

Der Export ist sehr einfach – Sie klicken das betreffende Zertifikat mit der rechten Taste an und wählen Exportieren. Nach der Eingabe des Passwortes, das die PFX-Datei schützt, wird das Zertifikat auf den Datenträger gespeichert.

Export des SSL-Zertifikats von IIS

Import eines neuen Zertifikats und Erstellung von PFX

Diese Vorgehensweise ist leider nicht möglich. Der Zertifikatspeicher in Windows unterstützt den Import des privaten Schlüssels von der Datei nicht, deshalb können Sie in der MMC Konsole die Schlüssel in PFX ähnlich wie im Fall von OpenSSL nicht verbinden. Auf den Webserver IIS können Sie also wieder nur PFX importieren.

Falls Sie auf den Windows Server ein neues Zertifikat importieren möchten und auf dem Server befindet sich der private Schlüssel nicht (die CSR-Anforderung haben Sie auf dem Server nicht erstellt), können Sie folgendermaßen fortschreiten:

  • Die PFX anderswo erstellen (z.B. in OpenSSL) und das Zertifikat nachfolgend mit PFX importieren.
  • Auf dem Server eine neue Anforderung (CSR-Request) erstellen und sog. Reissue (Neuausstellung) von dem Zertifikat durchführen. Reissue bedeutet, dass das Zertifikat kostenlos neuausgestellt wird und dass Sie es zu dem bestehenden privaten Schlüssel importieren werden können. Diese Operation können Sie selbst in der Kundenverwaltung durchführen.

PFX in einer Drittanbieter-Anwendung erstellen

Die PFX-Datei können Sie von selbständigen Schlüsseln in einem grafischen Programm erstellen und somit der Bedingung, OpenSSL in der Kommandozeile zu verwenden, ausweichen.

Als das beste Programm für diesen Zweck empfehlen wir Ihnen die Opensource Anwendung XCA. In diesem intuitiven Programm können Sie alle Ihre Zertifikate und Schlüssel verwalten. Den Hauptvorteil stellt eine automatische Zuordnung der Schlüssel zueinander dar, Sie müssen somit nicht nachforschen, welcher privater Schlüssel zu welchem Zertifikat passt. Import der Schlüssel ist einfach und der Export ist in alle Formate möglich.

Programm XCA für die Schlüssel-Verwaltung

(Un)Sicherheit der PFX-Datei

Die PFX Datei wird immer mit einem Passwort geschützt, weil sie den privaten Schlüssel enthält. Bei der Erstellung der Datei wählen Sie das Passwort verantwortungsvoll, denn dieses kann Sie auch vor dem Missbrauch des Zertifikats schützen. Den Angreifer würde nur erfreuen, sollte das Passwort zu der entwendeten Datei „12345“ sein – umso schneller könnte er das Zertifikat missbrauchen.

Mit einem entwendeten Code Signing Zertifikat kann der Angreifer jegliche Dateien mit dem Namen Ihrer Firma signieren. Deshalb ist es wichtig, die PFX-Datei in Sicherheit aufzubewahren, oder ein Code Signing EV Zertifikat zu bestellen. Die Code Signing EV-Zertifikate sind nämlich auf Tokens gespeichert und ihr Missbrauch im Fall eines Diebstahls ist praktisch ausgeschlossen: falls das Passwort mehrmals falsch ausgefüllt wird, wird das Token blockiert.