IIS, openssl, pem, pfx

IISからバックアップしたSSL証明書をPEM形式に変更する方法

2014年2月21日

IISからバックアップしたSSL証明書は、PKCS #12(Windowsでいう.pfx拡張子)です。
Apache等に導入するには、PEM形式に変更する必要があります。

（例）
PKCS #12形式ファイル:www.example.com.pfx
出力する秘密鍵：www.example.com.key
出力する証明書：www.example.com.crt

$ openssl pkcs12 -export -in www.example.com.crt -inkey www.example.com.key -certfile ca.crt -out www.example.com.pfx -name "証明書名"

コマンドを実行すると、インポート用のパスワードを入力する画面になります。
IISにインポートする際に入力することになりますので、適宜パスワードをつけてください。

IISへインポートする手順は、特に違いはありません。

証明書の出力

$ openssl pkcs12 -in www.example.com.pfx -clcerts -nokeys -out www.example.com.crt

秘密鍵の出力

$ openssl pkcs12 -in www.example.com.pfx -nocerts -out www.example.com.key

それぞれのコマンドを実行すると、エクスポート用のパスワードを入力する画面になります。
秘密鍵については、更に秘密鍵のパスワードも求められます。