Задать вопрос
@leili

Как корректно сконвертировать ssl-сертификат из .pem в .pfx?

На сервере nginx стоит сертбот, тянущий сертификаты с letsencrypt.

В результате отработки бота появилась директория с ключами .pem


`privkey.pem` : the private key for your certificate.
`fullchain.pem`: the certificate file used in most server software.
`chain.pem` : used for OCSP stapling in Nginx >=1.3.7.
`cert.pem` : will break many server configurations, and should not be used
without reading further documentation (see link below).


В итоге на сайте появляется замочек, браузер не ругается, показывает, что в этом подключении используется протокол TLS 1.2

Для сервера IIS конвертирую .pem в pfx командой:

openssl pkcs12 -export -out myname.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem


Полученный pfx привязываю к серверу, но сконвертированный для локалки ключ выглядит так
5e625bbddda6e246574630.png
и при просмотре кода страницы в браузере вижу такое:

The connection used to load resources from https://name.domain.ru used TLS 1.0 or TLS 1.1, which are deprecated and will be disabled in the future. Once disabled, users will be prevented from loading these resources. The server should enable TLS 1.2 or later. See https://www.chromestatus.com/feature/5654791610957824 for more information.


Почему во внешке в nginx сертификат TLS 1.2 , а в локалке IIS после конвертации TLS 1.1?
  • Вопрос задан
  • 1986 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 3
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Потому что сертификат никаким боком не связан с версией TLS.
Вам надо в IIS включить поддержку TLS 1.2 и отключить TLS 1.0, TLS 1.1 и SSLv3.
Ответ написан
Комментировать
martin74ua
@martin74ua
Linux administrator
шифрование - это не свойства сертификата, а настройки веб сервера....
Ответ написан
Комментировать
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
По поводу IIS и версии TLS - а вы включили вообще поддержку TLS 1.2 в ОС?
Или ручками через реестр или с помощью https://www.nartac.com/Products/IISCrypto/

По поводу конвертации - попробуйте fullchain брать. там внутри и рутовый сертификат и выданный.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Сертификат не зависит от tls, только как настроешь вебсервер
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы