Hướng dẫn chuyển đổi từ PFX (IIS) sang CRT cho Apache (X.509)

Để có thể trích xuất private key và certificate từ file PFX (PKCS12) được xuất ra từ máy chủ chạy IIS, bạn cần dùng phần mềm OpenSSL. Các máy chủ chạy Linux đã có sẵn OpenSSL (bạn có thể tải file PFX lên máy Linux để thực hiện), ngược lại nếu chạy Windows, bạn cần cài bộ OpenSSL for Windows lên máy tính.

Sau khi cài đặt Openssl, bạn mở Command Prompt, di chuyển đến thư mục C:\Openssl\bin và chạy lệnh sau:

openssl pkcs12 -in C:\backup.pfx -nocerts -out C:\key.pem

Lưu ý: Bạn cần phải nhập mật khẩu của file backup.pfx và nhập mật khẩu cho file private key.

Sau đó, bạn cần xóa bỏ mật khẩu của private key (nếu bạn không xóa mật khẩu thì mỗi lần bạn restart Apache bạn sẽ phải nhập mật khẩu, rất bất tiện) bằng lệnh sau:

openssl rsa -in C:\key.pem -out C:\private.key

Lưu ý: Bạn cần phải nhập mật khẩu của private key

Để trích xuất certificate, bạn chạy lệnh sau:

openssl pkcs12 -in C:\backup.pfx -clcerts -nokeys -out C:\certificate.crt

Để trích xuất Intermediate CAs, bạn chạy lệnh sau:

openssl pkcs12 -in C:\backup.pfx -out C:\cabundle.crt -nodes -nokeys -cacerts

 

Bạn đã có thể dùng các file private.key, certificate.crt và cabundle.crt này để cấu hình SSL cho Apache.