如何創建 PFX 文件

PFX文件表示PKCS#12格式的證書；它包含證書、證書可信度所必需的中間授權證書以及證書的私鑰。將其視為一個存檔，其中存儲了部署證書所需的一切。

SSLmarket 不允許從管理部門下載私鑰，因為這需要將私鑰存儲在我們的系統中。我們永遠不會那樣做。

您可以與 CSR 一起創建一個私鑰，但您必須自己保存它（用於以後安裝證書）。您的瀏覽器將自動提供私鑰下載。

什麼時候需要創建 PFX？最常見的場景

• 您將在 Windows Server (IIS) 上安裝證書，但未在 IIS 中創建 CSR 請求。
• 您需要 Windows Server 的證書，但沒有 IIS 來生成 CSR。
• 您在 SSLmarket 中創建了 CSR 並保存了您的私鑰。您現在需要將證書部署到 Windows Server。

這是針對這些（和其他）情況的指南。

使用 OpenSSL 創建 PFX

OpenSSL 是一個可在任何 Unix 操作系統上使用的庫（程序）。如果您有 Linux 服務器或在 Linux 上工作，那麼 OpenSSL 絕對是可用程序之一（在存儲庫中）。

在 OpenSSL 中，必須在單個 PFX (PKCS#12) 文件中使用單獨存儲的密鑰。因此，將現有密鑰加入 PFX： openssl pkcs12 -export -in linux_cert+ca.pem -inkey privateky.key -out output.pfx

當您輸入保護證書的密碼時，將在目錄（您所在的位置）中創建 output.pfx 文件。

在 Windows 上創建 PFX（帶有 IIS 的服務器）

從現有證書創建 PFX

在 Windows 操作系統中，可以使用 MMC 將_現有_證書作為 PFX 文件從證書存儲中導出。如果 IIS 將它們存儲在證書存儲中，您也可以選擇在 Windows 服務器上執行此操作。

IIS Web 服務器允許您將_現有_證書直接從服務器證書存儲導出到 PFX。私鑰和 CSR 在 IIS 中創建 CSR 請求期間創建，證書在頒發時重新導入（這兩個步驟都可以在視頻指南中找到）。

導出非常簡單——右鍵單擊證書並選擇導出。選擇密碼保護 PFX 文件後，它會保存到磁盤。

導入新證書並創建 PFX

不幸的是，這是不可能的。Windows 證書存儲不允許您從文件中導入單獨的私鑰，因此在 MMC 中您不會像在 OpenSSL 中那樣將密鑰合併到 PFX。您只能將 PFX 導入到 IIS Web 服務器中，所以在前面的例子中是什麼。

如果您需要將新證書導入到 Windows Server 中並且服務器上沒有私鑰（您沒有在服務器上創建 CSR 請求），您可以按照以下步驟操作：

• 在別處（OpenSSL 或其他方式）創建 PFX，然後使用 PFX 導入證書
• 在服務器上創建新的 CSR 請求並重新頒發證書。

補發是指證書將免費補發，您可以將其導入到已有的私鑰中。您可以在客戶管理中自行完成此操作。

使用第三方應用程序創建 PFX

您可以從圖形程序中的單獨密鑰創建一個 .pfx 文件，從而繞過在終端中使用 OpenSSL 的需要。

用於此目的的最佳程序是開源 XCA。在這個直觀的程序中，您可以管理所有證書和密鑰。主要優點是自動匹配相應的鍵；您不必查找哪個私鑰屬於哪個證書。導入密鑰很容易，您可以導出為所有已知格式。

PFX 文件的（不）安全

PFX 文件始終受密碼保護，因為它包含私鑰。創建 PFX 時，請謹慎選擇密碼，因為它可以保護您免於濫用證書。如果被盜 PFX 文件的密碼是“12345”，攻擊者會很高興——他可以立即開始使用該證書。

在 PFX 文件中存儲代碼簽名證書的危險是將所有這些證書轉換為令牌的主要原因。Code Signing OV 和 EV 證書都必須存儲在令牌上，並且盜用它幾乎是不可能的；如果多次輸入密碼，令牌將被阻止。

請隨時聯繫我們的客戶支持以幫助您安裝 SSL 證書並提出任何問題。