Экспорт сертификата windows server

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами успешно настроили сеть на CentOS 7.6, двигаемся вперед. В сегодняшней публикации я вам хочу продемонстрировать, как вы можете выполнить экспорт сертификата или импорт сертификата из хранилища Windows. Уверен, что вы сами с легкостью можете найти кучу разных сценариев при которых вы можете использовать мою инструкцию.

Примеры сценариев при импорте и экспорте сертификата

Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.

В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.

Импорт сертификата в Windows

Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:

1. Первый, это для компьютера
2. Второй для пользователя

Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:

1. Через графический мастер импорта сертификатов
2. Через использование утилиты командной строки certutil

Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.

Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.

Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.

На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку «Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его». Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.

Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.

Завершаем мастер импорта сертификатов.

В результате импортирование сертификата успешно выполнено.

Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc «сертификаты» или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:

В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку «Сертификаты» (Подробнее по ссылке выше про mmc).

В контейнере «Личное — Сертификаты» я вижу свой Wildcard SSL сертификат, и по значку я вижу, что в нем есть закрытый ключ. Я его удалю, чтобы импортировать его с помощью certutil.

Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:\Temp\wildcard.

Далее импортируем наш сертификат. пишем команду:

Где -p, это пароль, а pyatilistnik.pfx имя файла.

Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.

Экспорт сертификата Windows

Давайте теперь проделаем процедуру обратного порядка. Первым делом я произведу экспорт сертификата из графического интерфейса. В оснастке «Сертификаты» найдите нужный вам. Щелкните по нему правым кликом и выберите «Все задачи — Экспорт’.

У вас откроется окно мастера экспорта сертификатов, нажимаем далее.

Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим «Да, экспортировать закрытый ключ».

Вам будет предложено выбрать формат выгрузки, тут могут быть расширения cer DER, cer Base-64, p7b, PFX. Так как у меня сертификат Wildcard, то я могу выгрузить в «Файл обмена личной информацией -PKCS # 12(.PFX)». Если вы планируете после экспорта удалить из личного хранилища ваш сертификат, то можете тут выставить соответствующую галку. Так же может выгрузить все расширения, после чего нажимаем далее.

Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.

В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.

Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.

Экспорт успешно выполнен.

Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:

Находим поле «Серийный номер» у нужного сертификата и копируем его.

Далее пишем команду для экспорта сертификата;

Все успешно отработало.

На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.

Как выполнить экспорт или импорт сертификатов и ключей Windows

Чтобы воспользоваться сертификатом на своем или другом компьютере под управлением Windows, его нужно импортировать или экспортировать, соответственно.

Импорт сертификата и закрытого ключа

Если вам кто-то прислал сертификат или вы передали его с одного компьютера на другой, сертификат и закрытый ключ необходимо импортировать, прежде чем пользоваться ими. Импорт сертификата предполагает его размещение в соответствующую папку сертификатов.

1. Откройте Диспетчер сертификатов.
2. Выберите папку, в которую следует импортировать сертификат. В меню Действие выберите пункт Все задачи и выберите команду Импорт .
3. Нажмите кнопку Далее и следуйте инструкциям.

Примечание: Если поиск сертификата мастером импорта сертификатов выполняется с помощью кнопки Обзор , заметьте, что в диалоговом окне Открыть умолчанию отображаются только сертификаты X.509. Если нужно импортировать другой тип сертификата, выберите тип в диалоговом окне Открыть.

Экспорт сертификата и закрытого ключа

Чтобы создать резервную копию сертификата или воспользоваться им на другом компьютере, сертификат сначала следует экспортировать.

Экспорт сертификата предполагает преобразование сертификата в файл, который затем можно передать с одного компьютера на другой или поместить в безопасное место. Рекомендуется экспортировать сертификаты на съемный носитель, например диск или USB флеш-память.

1. Откройте Диспетчер сертификатов.
2. Щелкните правой кнопкой мыши сертификат, который следует экспортировать, выберите Все задачи и выберите команду Экспорт.
3. В мастере экспорта сертификатов нажмите кнопку Далее .
4. Если сертификат использоваться на другом компьютере, щелкните Да , экспортировать закрытый ключ (если нет, выберите Нет , не экспортировать закрытый ключ) и нажмите кнопку Далее . (Этот параметр отображается, только если разрешен экспорт закрытого ключа и вы к нему доступ).
5. Выберите нужный формат и нажмите кнопку Далее .

Примечание: Выбор нужного формата будет зависеть от того, как будет использоваться сертификат. Например, для сертификата с закрытым ключом следует выбирать формат обмена личными сведениями. Если нужно переместить несколько сертификатов с одного компьютера на другой одним файлом, следует выбирать стандарт Cryptographic Message Syntax. Если сертификат будет использоваться в нескольких операционных системах, следует выбирать формат в DER-кодировке X.509.

Чтобы экспортировать закрытый ключ, введите пароль для шифрования ключа, подтвердите и нажмите кнопку.

Будет создан файл, в котором хранится сертификат. Введите имя файла и его расположение (полный путь) или нажмите кнопку Обзор , чтобы перейти в нужное место, и введите имя файла.

Нажмите кнопку Готово .

Экспорт сертификата с сервера Exchange Export a certificate from an Exchange server

Вы можете экспортировать сертификат с сервера Exchange в качестве резервной копии или для импорта на другие клиенты, устройства или серверы. Вы можете экспортировать сертификаты через Центр администрирования Exchange (EAC) или командную консоль Exchange. Полученный файл сертификата — это защищенный паролем двоичный файл PKCS #12, который содержит закрытый ключ сертификата. Его можно импортировать (устанавливать) на другие серверы. You can export a certificate from an Exchange server as a backup or to import the certificate on other clients, devices or servers. You can export certificates in the Exchange admin center (EAC) or in the Exchange Management Shell. The resulting certificate file is a password-protected binary PKCS #12 file that contains the certificate’s private key, and is suitable for importing (installing) on other servers.

Что нужно знать перед началом работы What do you need to know before you begin?

Предполагаемое время для завершения: 5 минут. Estimated time to complete: 5 minutes.

В EAC необходимо экспортировать файл сертификата на путь UNC \\ \ \ \\ \c$\ (или). In the EAC, you need to export the certificate file to a UNC path ( \\ \ \ or \\ \c$\ ). В командной консоли Exchange вы можете указать локальный путь. In the Exchange Management Shell, you can specify a local path.

Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell. To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись «Безопасность служб клиентского доступа» в статье Разрешения клиентов и мобильных устройств. You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the «Client Access services security» entry in the Clients and mobile devices permissions topic.

Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange. For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующим ссылкам: Exchange Server, Exchange Online или Exchange Online Protection. Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Использование Центра администрирования Exchange для экспорта сертификата Use the EAC to export a certificate

В Центре администрирования Exchange последовательно выберите пункты Серверы > Сертификаты. Open the EAC and navigate to Servers > Certificates.

В списке Выберите сервер выберите сервер Exchange, содержащий сертификат, нажмите кнопку Дополнительные параметры Дополнительные параметры значок и выберите сертификат Exchange. In the Select server list, select the Exchange server that contains the certificate, click More options , and select Export Exchange certificate.

На открывшейся странице Экспорт сертификата Exchange введите следующие сведения: On the Export Exchange certificate page that opens, enter the following information:

Файл для экспорта: Введите путь UNC и имя файла файла сертификата. File to export to: Enter the UNC path and file name of the certificate file. Пример: \\FileServer01\Data\Fabrikam.pfx For example, \\FileServer01\Data\Fabrikam.pfx

Пароль. При экспорте сертификата с закрытым ключом необходимо указать пароль. Password: When you export the certificate with its private key, you need to specify a password. Экспорт сертификата с закрытым ключом позволяет импортировать его на другие серверы. Exporting the certificate with its private key allows you to import the certificate on other servers.

После этого нажмите кнопку ОК. When you’re finished, click OK.

Экспорт сертификата с помощью Центра администрирования Exchange Use the Exchange Management Shell to export a certificate

Чтобы экспортировать двоичный файл сертификата, который можно импортировать на другие клиенты или серверы, используйте следующий синтаксис: To export a binary certificate file that you can import on other clients or servers, use the following syntax:

В этом примере сертификат экспортируется с локального сервера Exchange в файл с помощью следующих параметров: This example exports a certificate from the local Exchange server to a file with the following settings:

Сертификат, который имеет значение 5113ae0233a72fccb75b1d0198628675333d010e thumbprint, экспортируется в C:\Data\Fabrikam.pfx файл. The certificate that has the thumbprint value 5113ae0233a72fccb75b1d0198628675333d010e is exported to the file C:\Data\Fabrikam.pfx .

Экспортируемый файл сертификата кодируется с помощью кодировки DER (а не Base64). The exported certificate file is encoded by DER (not Base64).

Пароль для файла сертификата P@ssw0rd1 . The password for the certificate file is P@ssw0rd1 .

Примечания. Notes:

Параметр FileName принимает как локальный путь, так и UNC-путь. The FileName parameter accepts a local path or a UNC path.

Вы можете использовать аналогичную процедуру для экспорта отложенного запроса сертификата (также известного как запрос на подписание сертификата или CSR). You can use a similar procedure to export a pending certificate request (also known as a certificate signing request or CSR). Например, если требуется повторно переназначить запрос сертификата в орган сертификации, и вы не можете найти исходный файл запроса сертификата. For example, if you need to resubmit the certificate request to the certification authority, and you can’t find the original certificate request file. При экспорте запроса сертификата обычно не требуется использовать параметр Password или переключатель BinaryEncoded, и вы сохраняете запрос в файл .req. When you export a certificate request, you typically don’t need to use the Password parameter or the BinaryEncoded switch, and you save the request to a .req file. Обратите внимание, что вы не можете импортировать экспортируемый запрос сертификата на другом сервере. Note that you can’t import an exported certificate request on another server.

Дополнительные сведения см. в статье Export-ExchangeCertificate. For more information, see Export-ExchangeCertificate.

Как убедиться, что все получилось? How do you know this worked?

Чтобы убедиться, что вы успешно экспортировали сертификат с сервера Exchange, попробуйте импортировать файл сертификата на другом сервере. To verify that you have successfully exported a certificate from an Exchange server, try importing the certificate file on another server. Дополнительные сведения см. в справке Импорт или установка сертификата на сервер Exchange. For more information, see Import or install a certificate on an Exchange server.