@leili

Как корректно сконвертировать ssl-сертификат из .pem в .pfx?

На сервере nginx стоит сертбот, тянущий сертификаты с letsencrypt.

В результате отработки бота появилась директория с ключами .pem


`privkey.pem` : the private key for your certificate.
`fullchain.pem`: the certificate file used in most server software.
`chain.pem` : used for OCSP stapling in Nginx >=1.3.7.
`cert.pem` : will break many server configurations, and should not be used
without reading further documentation (see link below).


В итоге на сайте появляется замочек, браузер не ругается, показывает, что в этом подключении используется протокол TLS 1.2

Для сервера IIS конвертирую .pem в pfx командой:

openssl pkcs12 -export -out myname.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem


Полученный pfx привязываю к серверу, но сконвертированный для локалки ключ выглядит так
5e625bbddda6e246574630.png
и при просмотре кода страницы в браузере вижу такое:

The connection used to load resources from https://name.domain.ru used TLS 1.0 or TLS 1.1, which are deprecated and will be disabled in the future. Once disabled, users will be prevented from loading these resources. The server should enable TLS 1.2 or later. See https://www.chromestatus.com/feature/5654791610957824 for more information.


Почему во внешке в nginx сертификат TLS 1.2 , а в локалке IIS после конвертации TLS 1.1?
  • Вопрос задан
  • 94 просмотра
Решения вопроса 2
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Потому что сертификат никаким боком не связан с версией TLS.
Вам надо в IIS включить поддержку TLS 1.2 и отключить TLS 1.0, TLS 1.1 и SSLv3.
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer
По поводу IIS и версии TLS - а вы включили вообще поддержку TLS 1.2 в ОС?
Или ручками через реестр или с помощью https://www.nartac.com/Products/IISCrypto/

По поводу конвертации - попробуйте fullchain брать. там внутри и рутовый сертификат и выданный.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Сертификат не зависит от tls, только как настроешь вебсервер
Ответ написан
martin74ua
@martin74ua
Linux administrator
шифрование - это не свойства сертификата, а настройки веб сервера....
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Digital Reputation Москва
от 80 000 ₽
Почта Банк Москва
от 200 000 до 240 000 ₽
MSP360 Санкт-Петербург
от 90 000 до 170 000 ₽