Серверы Windows используют файлы.pfx для хранения файлов открытых ключей и связанный файл приватного ключа (сгенерированный Вашим сервером как часть CSR).
Поскольку для SSL-сертификата необходимы как открытый, так и закрытый ключи, Вам нужна резервная копия.pfx для передачи сертификатов безопасности SSL-сервера с одного сервера на другой.
На этой странице объясняется, как создать резервную копию Вашего сертификата на рабочем сервере, импортировать сертификат на другой сервер и затем включить сертификат для использования на новом сервере.
Экспорт / резервное копирование в файл.pfx
- В меню «Start » выберите «Run» и введите «mmc».
- Нажмите «File»> «Add/Remove Snap-in».
- Нажмите «Certificates > Add».
- Выберите «Computer Account» и нажмите «Next» . Выберите «Local Computer» и нажмите «Finish» . Затем закройте окно добавления отдельного Snap-in и окно добавления / удаления Snap-in.
- Нажмите кнопку +, чтобы развернуть дерево консоли сертификатов (local computer), и найдите личный directory/folder. Разверните папку сертификатов.
- Щелкните правой кнопкой мыши сертификат, который Вы хотите создать, и выберите «ALL TASKS»> «Export» .
- Выберите «Yes», экспортируйте приватный ключ и включите все сертификаты в путь сертификата, если это возможно. Предупреждение. Не выбирайте опцию delete private key.
- Оставьте настройки по умолчанию, а затем введите свой пароль, если это необходимо.
- Выберите файл, что бы его сохранить, а затем, нажмите кнопку «Finish». Вы должны получить сообщение «export successful». Файл.pfx теперь сохраняется в выбранном Вами местоположении.
Импорт из файла.pfx
- В меню «Start» выберите «Run» и введите «mmc».
- Нажмите «File»> « Add/Remove Snap-in».
- Нажмите «Certificates > Add».
- Выберите «Computer Account» и нажмите «Next». Выберите «Local Computer» и нажмите «Finish». Затем закройте окно add standalone snap-in и окно add/remove snap-in window.
- Нажмите кнопку +, чтобы развернуть дерево консоли сертификатов (local computer), и найдите directory/folder. Разверните папку сертификатов.
- Щелкните правой кнопкой мыши сертификат, который Вы хотите создать, и выберите «ALL TASKS > Import».
- Следуйте в мастер импорта сертификатов, чтобы импортировать первичный сертификат из файла.pfx. При появлении запроса выберите автоматическое размещение сертификатов в хранилищах сертификатов в зависимости от типа сертификата.
Включение нового сертификата на сервере
- В меню «Start» выберите «Administrative Tools > Internet Information Services (IIS) Manager».
- В диспетчере IIS выберите имя сервера.
- Разверните папку сайтов.
- Выберите сайт, который Вы хотите защитить (обычно это web-сайт по умолчанию).
- В меню действий в разделе редактирования сайта нажмите «Bindings».
- В окне привязки сайта нажмите «Add». Если привязка для https уже существует, выберите привязку https и нажмите «Edit».
- Заполните информацию в окне привязки сайта. В раскрывающемся списке выберите https. Установите IP-адрес на IP-адрес сайта или выберите все не назначенные. Порт для трафика SSL обычно равен 443. Введите недавно импортированный сертификат в поле SSL Certificate.
- Нажмите «ОК». Теперь Ваш SSL-сертификат установлен, и web-сайт настроен на принятие безопасных подключений. Возможно, Вам придется перезапустить IIS или сервер, чтобы он узнал новый сертификат.
Для этого необходимо проделать следующие действия:
Выбрать меню «Пуск» / «Панель управления» / «КриптоПро CSP»
. Перейти на вкладку «Сервис»
и нажать на кнопку «Просмотреть сертификаты в контейнере»
(см. рис. 1).
Рис. 1. Окно «Свойства КриптоПро CSP».
В открывшемся окне нажать на кнопку «Обзор»
, чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку «Ок»
(см. рис. 2).
Рис. 2. Окно выбора контейнера для просмотра.
В следующем окне кликнуть по кнопке «Далее»
.
В окне «Сертификат для установки»
необходимо нажать кнопку «Свойства»
(см. рис. 3).
Рис. 3. Окно просмотра сертификата
В открывшемся файле сертификата следует перейти на вкладку «Состав»
и нажать кнопку «Копировать в файл»
(см. рис. 4).
Рис. 4. Вкладка «Состав».
В открывшемся окне «Мастер экспорта сертификатов»
нажать на кнопку «Далее»
. Затем отметить пункт «Нет, не экспортировать закрытый ключ»
и выбрать «Далее»
(см. рис. 5).
Рис. 5. Параметры экспорта закрытого ключа.
В окне «Формат экспортируемого файла»
выбрать «Файлы X.509 (.CER) в кодировке DER»
и нажать на кнопку «Далее»
(см. рис. 6).
Рис. 6. Формат экспортируемого файла.
В следующем окне необходимо кликнуть по кнопке «Обзор»
, вручную указать имя (ФИО владельца сертификата) и каталог для сохранения файла. Затем нажать на кнопку «Сохранить»
(см. рис. 7).
Рис. 7. Сохранение файла.
В следующем окне нажать на кнопку «Далее»
, затем «Готово»
. Дождаться сообщения об успешном экспорте. Закрыть все окна программы КриптоПро.
Экспорт из хранилища Личные
Выбрать меню «Пуск» ("Настройки") > «Панель управления» > «Свойства обозревателя» («Свойства браузера» ). Перейти на вкладку «Содержание» и нажать на кнопку «Сертификаты».
Найти в списке нужный сертификат и нажать на кнопку «Экспорт».
В окне «Мастер экспорта сертификатов» нажать на кнопку «Далее». Затем отметить пункт «Нет, не экспортировать закрытый ключ» и выбрать «Далее».
В окне « Формат экспортируемого файла» выбрать «Файлы X.509 (.CER) в кодировке DER» и нажать на кнопку «Далее».
Экспорт файла открытого ключа с помощью Крипто Про
Для этого необходимо проделать следующие действия:
Выбрать меню «Пуск» > «Панель управления» > «Крипто Про CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Просмотреть сертификаты в контейнере».
В открывшемся окне нажать на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку «Ок».
В следующем окне кликнуть по кнопке «Далее». Если после нажатия на кнопку «Далее» появляется сообщение «В контейнере закрытого ключа отсутствует открытый ключ шифрования», то для получения файла открытого ключа следует обратиться в службу технической поддержки по адресу [email protected]
В окне «Сертификат для просмотра» необходимо нажать кнопку «Свойства».
В открывшемся файле сертификата следует перейти на вкладку «Состав» и нажать кнопку «Копировать в файл».
В открывшемся окне «Мастер экспорта сертификатов» нажать на кнопку «Далее». Затем отметить пункт «Нет, не экспортировать закрытый ключ» и выбрать «Далее».
В окне «Формат экспортируемого файла» выбрать «Файлы X.509 (.CER) в кодировке DER» и нажать на кнопку «Далее».
В следующем окне необходимо кликнуть по кнопке «Обзор», указать имя и каталог для сохранения файла. Затем нажать на кнопку «Сохранить».
Если экспортировать сертификат не удалось ни первым, ни вторым способом, то для получения файла открытого ключа следует обратиться в службу технической поддержки по адресу [email protected] , указав ИНН и КПП организации, а также данные сертификата (срок действия и ФИО владельца).
Чтобы воспользоваться сертификатом на своем или другом компьютере под управлением Windows, его нужно импортировать или экспортировать, соответственно.
Импорт сертификата и закрытого ключа
Если вам кто-то прислал сертификат или вы передали его с одного компьютера на другой, сертификат и закрытый ключ необходимо импортировать , прежде чем пользоваться ими. Импорт сертификата предполагает его размещение в соответствующую папку сертификатов .
- Откройте Диспетчер сертификатов .
- Выберите папку, в которую следует импортировать сертификат. В меню Действие выберите пункт Все задачи и выберите команду Импорт .
- Нажмите кнопку Далее и следуйте инструкциям.
Примечание : Если поиск сертификата мастером импорта сертификатов выполняется с помощью кнопки Обзор , заметьте, что в диалоговом окне Открыть умолчанию отображаются только сертификаты X.509. Если нужно импортировать другой тип сертификата, выберите тип в диалоговом окне Открыть .
Экспорт сертификата и закрытого ключа
Чтобы создать резервную копию сертификата или воспользоваться им на другом компьютере, сертификат сначала следует экспортировать .
Экспорт сертификата предполагает преобразование сертификата в файл, который затем можно передать с одного компьютера на другой или поместить в безопасное место . Рекомендуется экспортировать сертификаты на съемный носитель, например диск или USB флеш-память.
- Откройте Диспетчер сертификатов .
- Щелкните правой кнопкой мыши сертификат, который следует экспортировать, выберите Все задачи и выберите команду Экспорт .
- В мастере экспорта сертификатов нажмите кнопку Далее .
- Если сертификат использоваться на другом компьютере, щелкните Да , экспортировать закрытый ключ (если нет, выберите Нет , не экспортировать закрытый ключ) и нажмите кнопку Далее . (Этот параметр отображается, только если разрешен экспорт закрытого ключа и вы к нему доступ).
- Выберите нужный формат и нажмите кнопку Далее
.
Примечание : Выбор нужного формата будет зависеть от того, как будет использоваться сертификат. Например, для сертификата с закрытым ключом следует выбирать формат обмена личными сведениями. Если нужно переместить несколько сертификатов с одного компьютера на другой одним файлом, следует выбирать стандарт Cryptographic Message Syntax. Если сертификат будет использоваться в нескольких операционных системах, следует выбирать формат в DER-кодировке X.509.
- Чтобы экспортировать закрытый ключ, введите пароль для шифрования ключа, подтвердите и нажмите кнопку.
- Будет создан файл, в котором хранится сертификат. Введите имя файла и его расположение (полный путь) или нажмите кнопку Обзор , чтобы перейти в нужное место, и введите имя файла.
- Нажмите кнопку Готово .