Hướng dẫn chuyển đổi từ X.509 (.cer, .crt) sang PKCS12 (.pfx) cho IIS

IIS cho phép import bộ chứng thư số từ file định dạng PCKS12 (PFX). Nếu bạn muốn chuyển đổi bộ chứng thư số đang sử dụng trên máy chủ chạy Apache sang máy chủ mới chạy IIS, bạn cần phải chuyển đổi sang chuẩn PKCS12 bằng công cụ OpenSSL.

Trước hết bạn cần chuyển đến thư mục chứa bộ cert, đảm bảo có 3 file sau đây: private key, certificate, cabundle.

Từ Shell, gõ lệnh sau:

openssl pkcs12 -export -in certificate.crt -inkey private.key -certfile cabundle.crt -out certificate.pfx

Sau khi convert thành công, bạn có thể check lại PFX bằng lệnh sau:

openssl pkcs12 -info -in certificate.pfx

 

Bạn có thể dùng PFX này để import vào server chạy IIS theo hướng dẫn tại đây:

Để import bộ chứng thư số SSL chuẩn PKCS12 (có đuôi .pfx hoặc .p12) vào máy chủ Windows Server, bạn cần thực hiện theo các bước sau:

  1. Đăng nhập vào Windows với quyền quản trị.
  2. Từ màn hình Desktop, mở Command Prompt và chạy lệnh mmc:

– Trên Windows 2003, 2008: Nhấn Start, chọn Run và gõ vào mmc và nhấn ENTER

– Trên Windows 2012: Nhấn Start , chọn ô Start Search, gõ vào mmc và nhấn ENTER

  1. Từ màn hình mmc, chọn FileAdd/Remove Snap-in

a

  1. Trong màn hình tiếp theo chọn Certificatesvà nhấn nút Add.

a

  1. Chọn Computer accounttrong màn hình tiếp theo và nhấn Next.

a

  1. Trong màn hình tiếp theo, chọn Local computervà nhấn Finish.

a

7. Trong khung bên phải, kiểm tra lại xem mục Certificates đã được thêm vào chưa. Sau đó nhấn OK

a

8. Từ màn hình Certificate Snap-in, nhấp chuột phải vào mục Personal và chọn All Tasks > Import

a

9. Nhấn Next

a

  1. NhấnBrowsevà trỏ đến vị trí lưu file PFX trên server, sau đó nhấn Next.

a

  1. Nhập vào mật khẩu bảo vệ của file PFX. Chọn mụcInclude all extended properties.Lưu ý: Nếu bạn muốn cho phép export khóa riêng của chứng thư số này về sau, bạn cần chọn mục Mark this key as exportable. Trong trường hợp bạn có nhiều máy chủ, bạn chỉ nên cho phép export khóa riêng từ một máy chủ chính để gia tăng khả năng bảo mật.

a

  1. ChọnPlace all certificates in the followiing store. Đảm bảo bạn đã chọnPersonal trong mục Certificate store. Nhấn Next.

a

  1. NhấnFinish.

a

  1. Lúc này, chứng thư số sẽ xuất hiện trong mụcPersonalCertificates. Bạn cũng sẽ thấy chứng thư số này xuất hiện khi Binding SSL cho website trong IIS.

a

Lưu ý: Trong trường hợp bạn đang sử dụng chứng thư số Wildcard và muốn chia sẻ chứng thư số này cho nhiều website khác nhau trên máy chủ, bạn cần lưu ý cột Friendly Name trong màn hình phía trên. Bạn cần đảm bảo có dấu * ở đầu. Ví dụ: “*.GlobalsignSSL2016“.

Bạn có thể thay đổi Friendly Name bằng cách nhấp chuột phải vào chứng thư số và chọn Properties.

a

Bạn đã import PFX thành công vào máy chủ.