Cómo extraer una clave privada de pfx. Utilizando un certificado de clave de firma electrónica. instalación en hosting.masterhost

Después de comprar un certificado, puede descargarlo en " Servicios Generales". Si está instalando un certificado en su servidor, utilice los ejemplos de instalación que se presentan aquí.

instalación en hosting .masterhost

Si necesita instalar un certificado en un dominio alojado en nuestro alojamiento virtual, entonces esto se puede hacer de dos maneras:

  • SNI (gratis):

    Árbol de servicios - Dominio - Soporte SSL - Agregar.

  • IP dedicada (140 rublos por mes. Generalmente se requiere para trabajar con algunos sistemas de pago):

    Árbol de servicios - Dominio - IP\SSL dedicado - Agregar.

    Seleccione un certificado en el menú desplegable.

* Para actualizar el certificado, por ejemplo, tras su renovación, siga pasos similares:

Árbol de servicios - Dominio - Soporte SSL o IP\SSL dedicado

(dependiendo del método de instalación) - Cambiar.

instalación en alojamiento de Windows

Si tiene una plataforma Windows, también es posible instalar un certificado de dos maneras:

Para instalar un certificado en una dirección IP dedicada, primero debe combinar los archivos .crt y .key que recibió de nosotros en un archivo .pfx.
Necesitas ejecutar este comando:

openssl pkcs12 -exportar -salida dominio.tld.pfx -inkey claveprivada.key -in certificado.crt*dominio.tld: su dominio.
dominio.tld.pfx: el nombre del certificado que recibirá como resultado de la fusión;
privateKey.key - clave privada;
Certificate.crt: el certificado que le emitimos.

Al ejecutar el comando, especificamos la contraseña para pfx dos veces y la escribimos en el archivo domain.tld.pwd. Copiamos ambos archivos (dominio.tld.pwd y dominio.tld.pfx) a la raíz del sitio (la raíz del sitio es el directorio en el que se encuentran las carpetas de sus dominios), luego de lo cual activamos la opción “Dedicado Servicio IP/SSL” en

Árbol de servicios - Dominio - IP\SSL dedicado - Agregar.

Si encuentra alguna dificultad, comuníquese con el soporte técnico.

pache

  • Copie los archivos del certificado SSL a su servidor.
  • Entonces necesitas encontrar el archivo. Configuraciones de Apache para editar.

    La mayoría de las veces, dichos archivos de configuración se almacenan en /etc/httpd. en la mayoría de los casos, el archivo de configuración principal se llama httpd.conf. Pero en algunos casos los bloques puede estar ubicado en la parte inferior del archivo httpd.conf. A veces puedes encontrar bloques como por separado en un directorio, por ejemplo, /etc/httpd/vhosts.d/ o /etc/httpd/sites/, o en un archivo llamado ssl.conf.

    Antes de abrir el archivo en editor de texto, Debes asegurarte de que haya bloques. que contienen la configuración de Apache.

  • A continuación, instale bloques SSL para establecer la configuración.

    Si necesita que su sitio funcione con una conexión segura y no segura, necesita un host virtual para cada conexión. Para hacer esto, debe hacer una copia de un host virtual desprotegido existente y crearlo para una conexión SSL como se describe a continuación en el párrafo 4.

  • Luego crea bloques para conectar una conexión SSL.

    A continuación se muestra un ejemplo muy sencillo de un host virtual para una conexión SSL. Las partes resaltadas en negrita deben agregarse a la configuración SSL:

    DocumentRoot /var/www/html2 Nombre del servidor www.sudominio.com SSLEngine en SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key SSLCertificateChainFile /path/to/root.crt Corrija los nombres de los archivos para que coincidan con los archivos del certificado:
    • SSLCertificateFile: su archivo de certificado (por ejemplo: su_nombre_de_dominio.crt).
    • SSLCertificateKeyFile: el archivo de clave creado al generar la CSR.
    • SSLCertificateChainFile - archivo certificado raíz.
  • Ahora verifique su configuración de Apache antes de reiniciar. Siempre es mejor comprobar si hay errores en los archivos de configuración de Apache antes de reiniciar. Ya que Apache no se volverá a iniciar si hay errores de sintaxis en los archivos de configuración. Para hacer esto, use el siguiente comando: apachectl configtest
  • Ahora puedes reiniciar Apache.

ginx

  • Copie los archivos del certificado al servidor.

    Copie su certificado (su_nombre_dominio.crt) y su certificado raíz (root.crt) junto con el archivo .key que generó al crear la solicitud CSR en el directorio de su servidor donde va a instalar el certificado. Para garantizar la seguridad, guarde los archivos como de solo lectura.

  • Conecte el certificado al certificado raíz.

    Debe combinar el archivo de certificado con el archivo de certificado raíz en un único archivo .pem ejecutando el siguiente comando:

    cat root.crt >> su_nombre_de_dominio.crt
  • Cambie el archivo del host virtual de Nginx.

    Abra su archivo de host virtual Nginx para el sitio que está protegiendo. Si necesita que el sitio funcione tanto con una conexión segura (https) como con una no segura (http), necesita un módulo de servidor para cada tipo de conexión. Haga una copia del módulo de servidor existente para una conexión no segura y péguela debajo del original. Después de eso, agregue las siguientes líneas en negrita:

    server ( escucha 443; ssl on; ssl_certificate /etc/ssl/your_domain_name.crt; (o .pem) ssl_certificate_key /etc/ssl/your_domain_name.key; server_name your.domain.com; access_log /var/log/nginx/nginx. vhost.access.log; error_log /var/log/nginx/nginx.vhost.error.log; ubicación / ( raíz /home/www/public_html/your.domain.com/public/; index index.html; ) ) Configuración de nombres de archivos:
    • ssl_certificate: un archivo que contiene los certificados principal y raíz (paso 2).
    • ssl_certificate_key: archivo con la clave que se generó al crear la CSR.
  • Reinicie Nginx.

    Ingrese el siguiente comando para reiniciar Nginx:

    sudo /etc/init.d/nginx reiniciar

intercambio 2010

  • Copie su certificado al servidor Exchange.
  • Luego inicie la Consola de administración de Exchange de esta manera: Inicio > Programas > Microsoft Exchange 2010 > Consola de administración de Exchange.
  • Ahora haga clic en "Administrar bases de datos" y luego en "Configuración del servidor".
  • Luego, seleccione su certificado SSL en el menú en el centro de la ventana, luego haga clic en "Completar solicitud pendiente" en el menú "Acciones".
  • Abra su archivo de certificado, luego haga clic en Abrir > Completar

    Exchange 2010 muestra con bastante frecuencia un mensaje de error que comienza con la frase "Los datos de origen están dañados o no están codificados correctamente en Base64". Ignora este error.

  • Luego, regrese a la Consola de administración de Exchange y haga clic en "Asignar servicios al certificado" para comenzar a usar el certificado.
  • Seleccione su servidor de la lista, haga clic en "Siguiente".
  • Ahora seleccione los servicios que deben estar protegidos por el certificado y haga clic en Siguiente > Asignar > Finalizar. Su certificado ahora está instalado y listo para usar en Exchange.

Para instalar un certificado personal con un enlace a la clave privada, utilice la aplicación CryptoPro CSP. Puede iniciarlo en el sistema operativo Windows yendo a Inicio >> Todos los programas >> CRYPTO-PRO >> CryptoPro CSP. En la ventana de la aplicación que aparece, seleccione la pestaña Servicio y haga clic en el botón Instalar certificado personal . A continuación, debe especificar la ubicación del archivo del certificado (un archivo con la extensión .cer) y hacer clic en Siguiente. La ventana Propiedades del certificado le permite verificar que esté seleccionado el certificado correcto; Después de verificar, haga clic en el botón Siguiente nuevamente.

En la siguiente ventana, debe especificar un contenedor de claves que contenga claves privadas usuario.

¡IMPORTANTE! Este paso utiliza sólo unidades USB extraíbles o tarjetas inteligentes y el registro del sistema operativo.

Solicitud CSP CriptoPRO la versión 3.9 le permite encontrar el contenedor automáticamente marcando la casilla correspondiente; más primeras versiones después de hacer clic en el botón Examinar, proporcionan una lista de medios disponibles entre los que debe seleccionar el que necesita. Después de seleccionar el contenedor, haga clic en Siguiente. La siguiente ventana le permite configurar los parámetros para instalar el certificado en la tienda. Habiendo seleccionado el almacenamiento requerido, haga clic en el botón Siguiente.

El siguiente paso es final y no requiere ninguna acción más que hacer clic en el botón Finalizar.

Nota: si necesita/quiere/prefiere una solución, es posible que desee utilizar la http://www.bouncycastle.org/api.

Utilice la interfaz de "Certificados de servidor" de IIS para "Generar una solicitud de certificado" (los detalles de esta solicitud están fuera del alcance de este artículo, pero son críticos). Esto le dará un CSR preparado para IIS. Luego proporciona la CSR a su CA y solicita el certificado. Luego tomas el archivo CER/CRT que te dan, vuelves a IIS", Solicitud completa certificado" en el mismo lugar donde creó la solicitud. Él puede pedir .CER y usted puede tener .CRT. Es lo mismo. Simplemente cambie la extensión o use el menú desplegable de extensiones . para seleccionar su.CRT. Ahora proporcione el "nombre descriptivo" correcto (*.tudominio.com, tudominio.com, foo.tudominio.com, etc.) ¡ESTO ES IMPORTANTE! Esto DEBE coincidir con lo que usted configura para el CSR y lo que su CA le ha proporcionado. Si solicitó un comodín, su CA debe haberlo aprobado y generado, y usted debe usarlo. Si su CSR se generó para foo.yourdomain.com, DEBE proporcionar la misma en esta etapa.

Primero necesitamos extraer el certificado de CA raíz del archivo.crt existente porque lo necesitaremos más adelante. Entonces, abra .crt y haga clic en la pestaña "Ruta del certificado".

Haga clic en el certificado superior (VeriSign en este caso) y haga clic en Ver certificado. Vaya a la pestaña Detalles y haga clic en Copiar a archivo...

Seleccione un certificado codificado en Base-64 X.509 (.CER). Guárdalo como rootca.cer o algo similar. Colóquelo en la misma carpeta que sus otros archivos.

Cambie el nombre de rootca.cer a rootca.crt. Ahora deberíamos tener 3 archivos en nuestra carpeta desde los cuales podemos crear un archivo PFX.

Aquí necesitamos OpenSSL. Podemos descargarlo e instalarlo en Windows o simplemente abrir una terminal en OSX.

<�Сильный>EDITAR:

    Después de la instalación exitosa, exporte el certificado, elija el formato .pfx e incluya la clave privada.

    El archivo importado se puede cargar en el servidor.

((las citas relevantes del artículo se encuentran a continuación))

A continuación, debe crear un archivo .pfx que utilizará para firmar sus implementaciones. Abra una ventana del símbolo del sistema e ingrese el siguiente comando:

PVK2PFX –pvk suarchivoclaveprivada.pvk –spc suarchivocert.cer –pfx suarchivopfx.pfx –po sucontraseñapfx

  • pvk: yourprivatekeyfile.pvk es el archivo de clave privada creado en el paso 4.
  • spc: yourcertfile.cer es el archivo de certificado creado en el paso 4.
  • pfx: yourpfxfile.pfx es el nombre del archivo .pfx que se creará.
  • po - yourpfxpassword - la contraseña que desea asignar al archivo .pfx. Se le solicitará esta contraseña cuando agregue un archivo .pfx a un proyecto en Estudio visual por primera vez.

(Opcionalmente (no para el OP, sino para futuros lectores) puede crear los archivos .cer y .pvk desde cero) (habría hecho esto ANTES DE COMENZAR arriba). Tenga en cuenta que mm/dd/aaaa son marcadores de posición para las fechas de inicio y finalización. consulte el artículo de msdn para obtener la documentación completa.

Makecert -sv yourprivatekeyfile.pvk -n "CN=Mi nombre de certificado" yourcertfile.cer -b mm/dd/yyyy -e mm/dd/yyyy -r

Esto le permitirá crear un PFX a partir de su certificado y clave privada sin tener que instalar otro programa.

A continuación se detallan los pasos utilizados para el escenario solicitado.

<�Ол>
  • Seleccione el tipo actual = PEM
  • Editar para = PFX
  • Descargar certificado
  • Descarga tu clave privada
  • Si tiene un certificado CA ROOT o certificados intermedios, cárguelos también.
  • Establezca una contraseña de su elección utilizada en IIS
  • Haz clic en reCaptcha para demostrar que no eres un bot
  • Haga clic en "Convertir"

Y deberías descargar PFX y usarlo en tu proceso de importación en IIS.

Espero que esto ayude a otros como personas tecnológicas perezosas con ideas afines.