pfx形式のSSL証明書をpem形式に変換する

1. 概要
2. pfxファイルからpem形式のサーバー証明書を取り出す
3. pfxファイルからpem形式のCA証明書を取り出す
4. 証明書の見方
5. pfxファイルからpem形式の秘密鍵を取り出す
6. 関連情報

概要

今回はなぜかSSL証明書がpfx形式で提供されたため、pem形式に変換して使用した経験を元に記事をまとめます。
pfx形式とは、秘密鍵（パスワード保護）と証明書が単一のファイルとして格納されているSSL証明書のアーカイブとなります。ルート証明書や中間証明書も一緒に格納できます。標準仕様としては「PKCS #12」に相当。
pfx形式のSSL証明書は、主にMicrosoftのサービス（AzureやIIS、SQL Serverなど）で使用することが多い。一方、pem形式のSSL証明書は、AWSのACMにインポートする場合やLinuxのApache、NginxなどのWebサーバーで使用します。

pfxファイルからpem形式のサーバー証明書を取り出す

下記opensslコマンドを使用して、サーバー証明書を取り出します。
- openssl pkcs12 -in -clcerts -nokeys -out <任意のサーバー証明書ファイル名>
- コマンド入力時に、パスフレーズの入力が必要となります。pfxファイルをエクスポートする際に設定したパスフレーズを入力します。
- pem形式の証明書は、
  -----BEGIN CERTIFICATE-----
  
  から始まり、
  -----END CERTIFICATE-----
  
  で終わります。

niikawa@niikawa1:~$ openssl pkcs12 -in sample.com.pfx -clcerts -nokeys -out sample.com_servercert.pem.cer
Enter Import Password:

pfxファイルからpem形式のCA証明書を取り出す

下記opensslコマンドを使用します。
- openssl pkcs12 -in -cacerts -nokeys -out <任意のCA証明書ファイル名>
- コマンド入力時に、パスフレーズの入力が必要となります。pfxファイルをエクスポートする際に設定したパスフレーズを入力します。
- pem形式の証明書は、
  -----BEGIN CERTIFICATE-----
  
  から始まり、
  -----END CERTIFICATE-----
  
  で終わります。

niikawa@niikawa1:~$ openssl pkcs12 -in sample.com.pfx -cacerts -nokeys -out sample.com_cacert.pem.cer
Enter Import Password:

証明書の見方

下記opensslコマンドを使用して、サーバー証明書 or CA証明書を確認します。
- openssl x509 -text -noout -in <証明書ファイル名>
証明書を確認する際の基本的なポイントは、下記の通りです。
- Version（バージョン）
- Serial Number（シリアル番号）
- Issuer（発行者）
- Validity（有効期間の開始と満了）
- Subject（主体者）
- Subject Public Key Info（主体者の公開鍵アルゴリズム、主体者の公開鍵）
また、X509v3 extensionsセクションのBasic ConstraintsにあるCA属性を確認することで、サーバー証明書かCA証明書かを判断します。CA属性は、下記の通り。
- CA:FALSE → サーバー証明書
- CA:TRUE → CA証明書
opensslコマンドのサンプルはこちらを参照。

pfxファイルからpem形式の秘密鍵を取り出す

下記opensslコマンドを使用します。（秘密鍵ファイルの暗号化あり）
- openssl pkcs12 -in -nocerts -out <任意の秘密鍵ファイル名>
- コマンド入力時に、パスフレーズの入力が必要となります。pfxファイルをエクスポートする際に設定したパスフレーズを入力します。
- 暗号化されている秘密鍵ファイルは、
  -----BEGIN ENCRYPTED PRIVATE KEY-----
  
  から始まり、
  -----END ENCRYPTED PRIVATE KEY-----
  
  で終わります。

niikawa@niikawa1:~$ openssl pkcs12 -in sample.com.pfx -nocerts -out sample.com.key
Enter Import Password:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

下記opensslコマンドを使用します。（秘密鍵ファイルの暗号化なし）
- openssl pkcs12 -in -nocerts -nodes -out <任意の秘密鍵ファイル名>
- コマンド入力時に、パスフレーズの入力が必要となります。pfxファイルをエクスポートする際に設定したパスフレーズを入力します。
- 暗号化されていない秘密鍵ファイルは、
  -----BEGIN PRIVATE KEY-----
  
  から始まり、
  -----END PRIVATE KEY-----
  
  で終わります。

niikawa@niikawa1:~$ openssl pkcs12 -in sample.com.pfx -nocerts -nodes -out sample.com.key
Enter Import Password:

元記事はこちら

「pfx形式のSSL証明書をpem形式に変換する」

この記事を書いた人

新川貴章

2018年入社、エンタープライズクラウド事業部　名古屋構築第二セクション　第二グループにてグループリーダーをさせていただいております。
インフラエンジニアとして、自動車メーカー様関連のお客様を中心にAWS/Azure を使ったインフラの設計、構築、運用を担当しております。
電機メーカーから転職。2015年に東京から三重県に移住、娘三人の父。毎日猫と同じ部屋で在宅ワーク中。
2022年度 iret スペシャリスト、技術評論社 WEB+DB PRESS Vol.122 に寄稿。新川貴章が書いた記事

pfx形式のSSL証明書をpem形式に変換する

概要

pfxファイルからpem形式のサーバー証明書を取り出す

pfxファイルからpem形式のCA証明書を取り出す

証明書の見方

pfxファイルからpem形式の秘密鍵を取り出す

関連情報

元記事はこちら

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

AWSの生成AI活用事例集GenUを使い倒す

Python で Cloud Storage の JSON ファイルを読み込む

cron の代わりに systemd timer を使ってみた

Oracle のロックされているテーブルのセッションを知りたい [cloudpack OSAKA blog]

pfx形式のSSL証明書をpem形式に変換する

概要

pfxファイルからpem形式のサーバー証明書を取り出す

pfxファイルからpem形式のCA証明書を取り出す

証明書の見方

pfxファイルからpem形式の秘密鍵を取り出す

関連情報

元記事はこちら

関連記事Related Articles

やさしいopensslコマンドによるSSL証明書の確認方法

Linux + CloudWatch Agentのメトリクス/ログ管理

やさしい自己認証局と自己署名証明書の作り方

やさしいLet’s EncryptでSSL証明書を発行する方法

IPアドレスからWHOISの国コード,組織を一覧するワンライナー