Экспорт сертификата с закрытым ключом windows

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами успешно настроили сеть на CentOS 7.6, двигаемся вперед. В сегодняшней публикации я вам хочу продемонстрировать, как вы можете выполнить экспорт сертификата или импорт сертификата из хранилища Windows. Уверен, что вы сами с легкостью можете найти кучу разных сценариев при которых вы можете использовать мою инструкцию.

Примеры сценариев при импорте и экспорте сертификата

Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.

В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.

Импорт сертификата в Windows

Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:

1. Первый, это для компьютера
2. Второй для пользователя

Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:

1. Через графический мастер импорта сертификатов
2. Через использование утилиты командной строки certutil

Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.

Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.

Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.

На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку «Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его». Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.

Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.

Завершаем мастер импорта сертификатов.

В результате импортирование сертификата успешно выполнено.

Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc «сертификаты» или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:

В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку «Сертификаты» (Подробнее по ссылке выше про mmc).

В контейнере «Личное — Сертификаты» я вижу свой Wildcard SSL сертификат, и по значку я вижу, что в нем есть закрытый ключ. Я его удалю, чтобы импортировать его с помощью certutil.

Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:\Temp\wildcard.

Далее импортируем наш сертификат. пишем команду:

Где -p, это пароль, а pyatilistnik.pfx имя файла.

Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.

Экспорт сертификата Windows

Давайте теперь проделаем процедуру обратного порядка. Первым делом я произведу экспорт сертификата из графического интерфейса. В оснастке «Сертификаты» найдите нужный вам. Щелкните по нему правым кликом и выберите «Все задачи — Экспорт’.

У вас откроется окно мастера экспорта сертификатов, нажимаем далее.

Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим «Да, экспортировать закрытый ключ».

Вам будет предложено выбрать формат выгрузки, тут могут быть расширения cer DER, cer Base-64, p7b, PFX. Так как у меня сертификат Wildcard, то я могу выгрузить в «Файл обмена личной информацией -PKCS # 12(.PFX)». Если вы планируете после экспорта удалить из личного хранилища ваш сертификат, то можете тут выставить соответствующую галку. Так же может выгрузить все расширения, после чего нажимаем далее.

Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.

В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.

Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.

Экспорт успешно выполнен.

Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:

Находим поле «Серийный номер» у нужного сертификата и копируем его.

Далее пишем команду для экспорта сертификата;

Все успешно отработало.

На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.

Экспорт сертификата с закрытым ключом windows

Инструкции администратора

Инструкция по работе с сертификатами пользователей в системе DIRECTUM

Экспорт сертификата и закрытого ключа

Закрытый ключ и сертификат для пользователя следует экспортировать в файлы. Будет получено два файла: сертификат с расширением «. CER » для регистрации в системе DIRECTUM и закрытый ключ с расширением «.PFX» для установки на компьютере пользователя.

Экспорт сертификата в файл «.CER»

· Шаг 1. На компьютере, где был запрошен сертификат пользователя, запустить Internet Explorer;

· Шаг 2. В окне Internet Explorer:

· выбрать из верхнего меню Сервис/Свойства обозревателя;

· перейти на закладку «Содержание»;

· нажать кнопку Сертификаты…;

· Шаг 3. В окне «Сертификаты»:

· перейти на закладку «Личные»;

· выбрать из списка сертификат, который нужно экспортировать;

· нажать кнопку Экспорт;

· Шаг 4. Окно «Мастер экспорта сертификатов»:

· Шаг 5. Окно «Мастер экспорта сертификатов»/ «Экспортирование закрытого ключа»:

· установить переключатель «Нет, не экспортировать закрытый ключ»;

· Шаг 6. Окно «Мастер экспорта сертификатов»/ «Формат экспортируемого файла»:

· установить переключатель «Файлы в DER-кодировке X.509 (.CER)»;

· Шаг 7. Окно «Мастер экспорта сертификатов»/ «Имя файла экспорта»:

· указать путь и имя файла, в который будет экспортирован сертификат, для задания пути можно воспользоваться кнопкой Обзор…;

· Шаг 8. Окно «Мастер экспорта сертификатов»/«Завершение работы мастера экспорта сертификатов»:

· Шаг 9. Окно «Мастер экспорта сертификатов»:

Полученный файл с расширением .CER будет использован для регистрации сертификата в системе DIRECTUM.

Экспорт закрытого ключа в файл «.PFX»

· Шаг 1. В окне Internet Explorer:

· выбрать из верхнего меню Сервис/Свойства обозревателя;

· перейти на закладку «Содержание»;

· нажать кнопку Сертификаты…;

· Шаг 2. В окне «Сертификаты»:

· перейти на закладку «Личные»;

· выбрать из списка сертификат, который нужно экспортировать;

· нажать кнопку Экспорт;

· Шаг 3. Окно «Мастер экспорта сертификатов»:

· Шаг 4. Окно «Мастер экспорта сертификатов»/ «Экспортирование закрытого ключа»:

· установить переключатель «Да, экспортировать закрытый ключ»;

· Шаг 5. Окно «Мастер экспорта сертификатов»/ «Формат экспортируемого файла»:

· установить переключатель «Файл обмена личной информацией – PKCS #12 (.PFX)»;

· установить галочки «Включить по возможности все сертификаты в путь сертификата», «Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше)», «Удалить закрытый ключ после успешного экспорта»;

· Шаг 6. Окно «Мастер экспорта сертификатов»/«Пароль»:

· ввести пароль на доступ к сертификату и подтверждение пароля;

· Шаг 7. Окно «Мастер экспорта сертификатов»/ «Имя файла экспорта»:

· указать путь и имя файла, в который будет экспортирован сертификат, для задания пути можно воспользоваться кнопкой Обзор…;

· Шаг 8. Окно «Мастер экспорта сертификатов»/«Завершение работы мастера экспорта сертификатов»:

· Шаг 9. Окно «Мастер экспорта сертификатов»:

Полученный файл с расширением «. PFX » будет использован для импорта закрытого ключа на компьютер пользователя.

Экспорт части сертификата аутентификации сервера с закрытым ключом Export the Private Key Portion of a Server Authentication Certificate

Каждый сервер федерации в ферме службы федерации Active Directory (AD FS) ( AD FS ) должен иметь доступ к закрытому ключу сертификата проверки подлинности сервера. Every federation server in an Active Directory Federation Services (AD FS) farm must have access to the private key of the server authentication certificate. При реализации фермы серверов или веб-серверов федерации необходимо иметь один сертификат проверки подлинности. If you are implementing a server farm of federation servers or Web servers, you must have a single authentication certificate. Этот сертификат должен быть выдан ЦС центра сертификации предприятия ( ) и должен иметь экспортируемый закрытый ключ. This certificate must be issued by an enterprise certification authority (CA), and it must have an exportable private key. Закрытый ключ сертификата аутентификации сервера должен быть экспортируемым, чтобы его можно было предоставить всем серверам на ферме. The private key of the server authentication certificate must be exportable so that it can be made available to all the servers in the farm.

Эта же концепция относится к фермам прокси-серверов федерации в том смысле, что все прокси сервера федерации в ферме должны совместно использовать частную часть одного сертификата проверки подлинности сервера. This same concept is true of federation server proxy farms in the sense that all federation server proxies in a farm must share the private key portion of the same server authentication certificate.

Оснастка управления AD FS — в относится к сертификатам проверки подлинности сервера для серверов федерации в качестве сертификатов связи служб. The AD FS Management snap-in refers to server authentication certificates for federation servers as service communication certificates.

В зависимости от роли, которую будет воспроизводить этот компьютер, используйте эту процедуру на компьютере сервера федерации или прокси-сервера федерации, где установлен сертификат проверки подлинности сервера с закрытым ключом. Depending on which role this computer will play, use this procedure on the federation server computer or federation server proxy computer where you installed the server authentication certificate with the private key. По окончании процедуры можно импортировать этот сертификат на веб-сайт по умолчанию каждого сервера на ферме. When you finish the procedure, you can then import this certificate on the Default Web Site of each server in the farm. Дополнительные сведения см. в разделе Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию. For more information, see Import a Server Authentication Certificate to the Default Web Site.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.

Экспорт части сертификата аутентификации сервера с закрытым ключом To export the private key portion of a server authentication certificate

На начальном экране введите службы IIS ( ) Диспетчер IIS и нажмите клавишу ВВОД. On the Start screen, type Internet Information Services (IIS) Manager, and then press ENTER.

В дереве консоли щелкните ComputerName. In the console tree, click ComputerName.

В центральной области дважды — щелкните Сертификаты сервера. In the center pane, double-click Server Certificates.

В центральной области щелкните правой кнопкой мыши — сертификат, который необходимо экспортировать, и выберите пункт Экспорт. In the center pane, right-click the certificate that you want to export, and then click Export.

В диалоговом окне Экспорт сертификатов нажмите кнопку … In the Export Certificate dialog box, click the … . button.

В окне имя файла введите C: \намеофцертификате, а затем нажмите кнопку Открыть. In File name, type C:\NameofCertificate, and then click Open.

Введите пароль для сертификата, подтвердите его и нажмите кнопку ОК. Type a password for the certificate, confirm it, and then click OK.

Проверьте, успешно ли выполнен экспорт, убедившись, что заданный файл создан в заданном расположении. Validate the success of your export by confirming that the file you specified is created at the specified location.

Для того чтобы этот сертификат можно было импортировать в локальное хранилище сертификатов на новом сервере, необходимо переместить файл на физический носитель и обеспечить его безопасность во время переноса на новый сервер. So that this certificate can be imported to the local certificate store on the new server, you must transfer the file to physical media and protect its security during transport to the new server. Очень важно обеспечить безопасность закрытого ключа. It is extremely important to guard the security of the private key. Если этот ключ скомпрометирован, безопасность всего развертывания AD FS, ( включая ресурсы в Организации и организации партнера по ресурсам, ) скомпрометирована. If this key is compromised, the security of your entire AD FS deployment (including resources within your organization and in resource partner organizations) is compromised.