Comment créer un fichier de certificat .cer?

11

Je souhaite travailler avec des certificats et l'autorité tierce m'envoie des valeurs:

-----BEGIN CERTIFICATE-----
[...]Many letters and digits[...]
-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----
[...]Many letters and digits[...]
-----END RSA PRIVATE KEY-----

Mais j'ai besoin d'un fichier .cer pour mettre dans mon IIS. Comment puis-je créer ce fichier .cer?

Merci d'avance pour n'importe quelle réponse.

splattne
la source

Réponses:

14

Ce que vous avez reçu est un certificat (la partie publique, signée par une partie de confiance) et la clé associée (la partie privée). En termes simples, c'est la clé privée qui permet à votre application de signer des éléments d'une manière que la partie distante peut ensuite valider à l'aide de la partie publique, le certificat. Votre serveur doit avoir les deux liés pour que les protocoles comme SSL \ TLS puissent fonctionner correctement.

Dans votre cas, vous avez reçu une paire complète, pas seulement le Cert. Le format qui vous a été donné s'appelle PEM et malheureusement le Gestionnaire de certificats Windows ne peut pas l'importer nativement (au meilleur de ma connaissance).

Le moyen le plus rapide que j'ai trouvé pour le convertir est d'installer OpenSSL quelque part et de convertir le fichier que vous avez au format PKCS # 12 à l'aide de la commande suivante. Vous devrez diviser le fichier que vous avez obtenu de l'autorité de certification en deux parties, l'une contenant le bloc de certificat appelé "certificate.txt" et l'autre contenant le bloc de clé privée appelé "key.txt":

openssl pkcs12 -export -out mycertkey.p12 -in certificate.txt -inkey key.txt

Une fois que vous avez le fichier au format PKCS # 12, vous pouvez l'importer dans Windows:

  • Ouvrez la console MMC (Démarrer -> Exécuter -> MMC.exe), puis sélectionnez ajouter \ supprimer le composant logiciel enfichable et ajoutez le composant logiciel enfichable Certificats.
  • Sélectionnez "Compte d'ordinateur" comme contexte.
  • Faites un clic droit sur le dossier "Personnel" et sélectionnez "Tâches> Importer"
  • Recherchez le fichier mycertkey.p12 que vous avez créé et importez le certificat et la clé privée dans le magasin de certificats de l'ordinateur.

Une fois le certificat installé, vous pouvez maintenant l'attribuer à partir d'IIS (cela peut varier un peu selon la version d'IIS)

  • Ouvrez votre console de gestion IIS et cliquez avec le bouton droit sur le domaine auquel vous souhaitez attribuer le certificat.
  • Sélectionnez Propriétés
  • Sélectionnez l'onglet "Sécurité de répertoire", puis "Certificats de serveur"
  • Suivez les invites de l'Assistant Certificats, sélectionnez Suivant, puis sélectionnez «Attribuer un certificat», puis à nouveau Suivant.
  • Recherchez et sélectionnez le certificat que vous venez d'importer et cliquez sur OK.

Ça devrait le faire.

Helvick
la source
merci pour votre réponse détaillée, mais openssl me dit: Chargement de `` l'écran '' dans un état aléatoire - fait impossible de charger la clé privée
1
et maintenant, j'ai "aucun certificat ne correspond à la clé privée"
1
Il est possible que quelque chose soit corrompu lors de la division du fichier au format PEM. Si vous essayez la commande Openssl en utilisant le fichier d'origine de votre autorité de certification comme fichier -in et -inkey, cela devrait également fonctionner. S'il peut correspondre à la paire, il vous demandera un mot de passe pour le fichier de sortie p12.
Helvick
1
devrait être ça, j'ai réexporté le fichier, et ça va. Merci beaucoup pour votre aide
1
Dans votre commande openssl, changer le nom du fichier de sortie de mycertkey.p12 en mycertkey.pfx permettra une importation plus facile. PFX est une extension de fichier enregistrée dans Windows sur laquelle vous pouvez simplement double-cliquer pour démarrer l'assistant d'importation de certificat.
Ryan Bolger
1

Cet article décrit le processus de création d'une demande de certificat et d'installation du certificat une fois que le signataire autorisé (GoDaddy, Thawte, etc.) a émis votre certificat.

ThatGraemeGuy
la source