如何取得 .pfx 憑證¶
概述¶
.pfx 檔案(也稱為 .p12 檔案)包含 SSL 憑證的公鑰與私鑰,用於伺服器的身份驗證和數據加密。在配置伺服器或備份憑證時,取得 .pfx 檔案是必要的。本文件將介紹三種常見的 .pfx 檔案取得方式:
- 新申請的憑證
- 從 IIS 匯出現有的憑證
- 其他可能的來源
1. 新申請的憑證¶
當您向憑證頒發機構(CA)申請新的 SSL 憑證時,可以直接取得 .pfx 檔案或相關檔案,然後自行生成。
取得 .pfx 的流程¶
- 生成 CSR(Certificate Signing Request):
- 在伺服器上生成 CSR,並將其提交給 CA。
- 記得保存生成 CSR 時的私鑰,因為 .pfx 檔案需要私鑰。
- 完成憑證申請:
- CA 將發送已簽署的 SSL 憑證(通常是 .crt 或 .cer 檔案)。
- 合併憑證和私鑰:
- 使用工具(例如 OpenSSL)合併憑證檔案與私鑰,生成 .pfx 檔案:如何安裝並使用Openssl
- 過程會需要 終端憑證(yourdomain.crt) 以及 中繼憑證(chain.crt),詳細請諮詢您的憑證供應商。(憑證說明)
- 此過程會要求輸入一組密碼來保護 .pfx 檔案。
2. 從 IIS 匯出現有的憑證¶
如果憑證已安裝在 IIS 伺服器中,可以透過 MMC 匯出 .pfx 檔案。
匯出 .pfx 的流程¶
- 啟動 MMC(Microsoft Management Console):
- 在伺服器上,按下 Windows + r 開啟執行,輸入
certlm.msc,然後按 Enter。 - 瀏覽憑證:
- 展開 個人 > 憑證,找到您要匯出的憑證。
- 匯出憑證:
- 右鍵點擊憑證,選擇 所有工作 > 匯出。
- 在匯出精靈中選擇 是,匯出私鑰
- 選擇 Personal Information Exchange - PKCS #12 (.PFX)。並確認勾選 如果可能的話,包含認證路徑中的所有憑證
- 輸入保護檔案的密碼,選擇保存位置,完成匯出。
3. 其他可能的來源¶
1. 從其他伺服器取得¶
如果憑證已安裝在另一台伺服器上,您可以:
- 使用伺服器提供的管理工具(如 Apache、NGINX 等)匯出。
- 確保包括私鑰和憑證鏈。
2. 從設備或應用程式取得¶
某些設備(如負載平衡器或網路應用防火牆)允許下載已安裝的憑證。
- 檢查設備的管理界面,尋找匯出 .pfx 或 PKCS#12 的選項。
3. 透過第三方工具生成¶
工具如 OpenSSL 可以協助合併私鑰與憑證,生成 .pfx 檔案。
- 請確保所有檔案完整無誤,包括中繼憑證(chain.crt)。
注意事項¶
- 私鑰的重要性:無論來源如何,.pfx 檔案的生成都需要私鑰。請務必妥善保存。
- 憑證鏈完整性:建議在生成 .pfx 檔案時包含所有中繼憑證,確保信任鏈完整。
- 安全性:為 .pfx 檔案設置密碼,並僅在受信的環境中存儲和傳輸。
結論¶
取得 .pfx 檔案可以通過申請新憑證、從 IIS 匯出現有憑證或其他來源生成。根據您的需求選擇適合的方式,並確保操作過程中私鑰與憑證的安全性。