Как корректно сконвертировать ssl-сертификат из .pem в .pfx?

Question

[leili]

На сервере nginx стоит сертбот, тянущий сертификаты с letsencrypt.

В результате отработки бота появилась директория с ключами .pem

`privkey.pem` : the private key for your certificate.
`fullchain.pem`: the certificate file used in most server software.
`chain.pem` : used for OCSP stapling in Nginx >=1.3.7.
`cert.pem` : will break many server configurations, and should not be used
without reading further documentation (see link below).

В итоге на сайте появляется замочек, браузер не ругается, показывает, что в этом подключении используется протокол TLS 1.2

Для сервера IIS конвертирую .pem в pfx командой:

openssl pkcs12 -export -out myname.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem

Полученный pfx привязываю к серверу, но сконвертированный для локалки ключ выглядит так

и при просмотре кода страницы в браузере вижу такое:

The connection used to load resources from https://name.domain.ru used TLS 1.0 or TLS 1.1, which are deprecated and will be disabled in the future. Once disabled, users will be prevented from loading these resources. The server should enable TLS 1.2 or later. See https://www.chromestatus.com/feature/5654791610957824 for more information.

Почему во внешке в nginx сертификат TLS 1.2 , а в локалке IIS после конвертации TLS 1.1?

Answer 1

[Rsa97]

Потому что сертификат никаким боком не связан с версией TLS.
Вам надо в IIS включить поддержку TLS 1.2 и отключить TLS 1.0, TLS 1.1 и SSLv3.

Answer 2

[Руслан Федосеев]

шифрование - это не свойства сертификата, а настройки веб сервера....

Answer 3

[Alexey Dmitriev]

По поводу IIS и версии TLS - а вы включили вообще поддержку TLS 1.2 в ОС?
Или ручками через реестр или с помощью https://www.nartac.com/Products/IISCrypto/

По поводу конвертации - попробуйте fullchain брать. там внутри и рутовый сертификат и выданный.

Answer 4

[Андрей Гаврилов]

Сертификат не зависит от tls, только как настроешь вебсервер