SSLmentor

Hochwertige TLS/SSL-Zertifikate für Websites und Internetprojekte.

Client-Login
OpenSSL

OpenSSL

Zertifikat nach PFX exportieren

Anleitung zum Exportieren des privaten Schlüssels, Zertifikats inkl. Zwischenzertifikate der Zertifizierungsstelle vom PEM (X.509)-Format in das PFX-Format, das für die Installation auf einem Windows-Server mit IIS (Internet Information Server) geeignet ist.

Export mit OpenSSL

Um mit Zertifikaten arbeiten zu können, muss die OpenSSL-Bibliothek installiert sein. Siehe das OpenSSL für Windows und Mac OSX-Seite für Anweisungen und Download-Links.

Vorbereitung des Zertifikats

Für den Export benötigen wir Zertifikate und private Schlüsseldateien. Speichern Sie alles in 3 Dateien - privater Schlüssel (.key), öffentlicher Schlüssel (.pem) und eine Datei wird mit Zwischenschlüsseln von CA (.pem) sein. Beim Export spielt es keine Rolle, ob die Dateien die Endung .PEM oder .TXT haben und die Bezeichnung hängt von Ihrer Wahl ab. Zur Orientierung sollte der Private Key .KEY.

heißen
  • Private Schlüsseldatei (während der Generierung in Control Panel oder OpenSSL gespeichert)
  • Zertifikatsdatei einer Zertifizierungsstelle (zertifizierter öffentlicher Schlüssel)
  • Datei mit Zwischenzertifikaten der Zertifizierungsstelle

Die Dateien enthalten Zertifikate im PEM-Format. Die Tasten beginnen und enden mit -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, den privaten Schlüssel -----BEGIN PRIVATE KEY----- a -----END PRIVATE KEY-----.

PEM nach PFX exportieren (PKCS#12)

Für den Export in OpenSSL verwenden wir den Befehl pkcs12 mit festgelegten Parametern:

openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem -certfile cabundle.pem

Oder zum Beispiel, wenn wir Schlüsseldateien im TXT-Format haben:

pkcs12 -export -out cert.pfx -inkey key.txt -in cert.txt -certfile cabundle.txt

Nach dem Start werden Sie aufgefordert, ein Passwort + Bestätigung (min. 4 Zeichen) einzugeben, das Zertifikat wird dann in die Datei cert.pfx exportiert.
Wenn sich die Dateien nicht im verwendeten Verzeichnis befinden, müssen Sie einen Pfad angeben. Zertifikatsdateien können auch die Erweiterung .txt haben, wie in der Abbildung gezeigt.

OpenSSL - Exportzertifikat für PFX

Überprüfen Sie die .pfx-Schlüsseldatei

Nach dem Export empfehlen wir, in der .pfx-Datei zu prüfen, ob alle Zertifikate korrekt eingefügt wurden.

openssl pkcs12 -info -nodes -in cert.pfx

Mögliche Exportfehler

Error opening input file key/cert.txt
 key/cert.txt: No such file or directory
Überprüfen Sie den Pfad und die Dateinamen der Schlüssel.

Unable to load certificate
Überprüfen Sie das korrekte Format und den Inhalt des PEM-Zertifikats, beginnend mit -----BEGIN CERTIFICATE-----.

Arbeiten mit Schlüsseln in PFX

Um einen verschlüsselten privaten Schlüssel aus .pfx zu exportieren, verwenden Sie den Befehl: openssl pkcs12 -in cert.pfx -nocerts -out key-crypt.key
Das Passwort für die Verschlüsselung muss min. 4 Zeichen lang.

Entschlüsselung des privaten Schlüssels: openssl rsa -in key-crypt.key -out key.key

Zertifikat (öffentlicher Schlüssel) in das .crt-Format exportieren: openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.crt

Zertifikatsexport nach PFX ohne privaten Schlüssel

Zertifikatsexport nach PFX ohne privaten Schlüssel: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem

Zertifikatsexport nach PFX ohne privaten Schlüssel mit CA-Zwischenzertifikaten: openssl pkcs12 -export -out cert.pfx -nokeys -in certificate.pem -certfile cabundle.pem

Zertifikatskonvertierung zwischen verschiedenen Formaten

Mit OpenSSL können verschiedene Konvertierungen zwischen Formaten mit den folgenden Befehlen durchgeführt werden.

PEM konvertieren → DER
openssl> x509 -outform der -in certificate.pem -out certificate.der
PEM konvertieren → P7B
openssl> crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile cacert.pem
DER konvertieren → PEM
openssl> x509 -inform der -in certificate.cer -out certificate.pem
P7B konvertieren → PEM
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
P7B konvertieren → PFX
openssl> pkcs7 -print_certs -in certificate.p7b -out certificate.pem
openssl> pkcs12 -export -in certificate.pem -inkey privateKey.key -out certificate.pfx -certfile cacert.pem
PFX konvertieren → PEM
openssl> pkcs12 -in certificate.pfx -out certificate.pem -nodes

Wohin als nächstes?

Zurück zur Infozentrum
Fehler gefunden oder etwas nicht verstanden? Schreiben Sie uns!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum