Nos trucs et astuces

Tous nos trucs et astuces pour les certificats SSL

I. Exporter/Importer un certificat SSL sous Apache/OpenSSL

II. Exporter/Importer un certificat SSL sous Microsoft IIS 5.0, 6.0 & 7.0 et Microsoft Exchange 2007

III. Convertir mon fichier certificat avec OpenSSL

IV. Passer du PKCS12 au JKS (et inversement) avec Keytool


I. Exporter/Importer un certificat SSL sous Apache/OpenSSL

A. Exporter votre certificat SSL

Pour exporter votre certificat SSL sur un serveur Apache, vous devez combiner votre certificat SSL, le certificat intermédiaire et votre clef privée dans un fichier backup .pfx en exécutant la commande suivante :

openssl pkcs12 -export -out SSL247Backup.pfx -inkey votreclefprivee.txt -in votrecertificatSSL.crt -certfile intermediaire.crt

Adaptez la commande avec votreclefprivee.txt (le chemin de votre fichier clef privée), votrecertificatSSL.crt (le chemin vers votre certificat SSL) et intermediaire.crt (le chemin vers le certificat intermédiaire).

B. Importer votre certificat SSL

Une fois que vous avez votre fichier .pfx, exécutez la commande suivante pour séparer la clef privée du fichier :

openssl pkcs12 -in SSL247Backup.pfx -out clefprivee.txt -nodes

Ouvrez le fichier clefprivee.txt et sauvegardez son contenu dans un fichier .key. Vous pouvez maintenant suivre nos instructions en fonction du serveur que vous avez pour installer votre certificat.


II. Exporter/Importer un certificat SSL sous Microsoft IIS 5.0, 6.0 & 7.0 et Microsoft Exchange 2007

A. Exporter votre certificat SSL

1. Lancez la Microsoft Management Console (MMC) en tappant mmc dans Démarrer > Exécuter.

2. Cliquez sur File et choisissez Add/Remove Snap In.

3. Cliquez sur Add, choisissez Certificates et cliquez sur Add.

4. Choisissez Computer Account, cliquez sur Suivant, choisissez Local Computer et cliquez sur Finish.

5. Fermez les deux fenêtres et dans la MMC, appuyez sur le + pour développer la console Certificates (Local Computer).

6. Cherchez votre dossier personnel et développez Certificates.

7. Faites clic droit sur le certificat que vous souhaitez exporter et choisissez All Tasks > Export.

8. Suivez l'assistant d'exportation, en choisissant : "Yes, export the private key", "Include all certificates in certificate path if possible" et "Leave default settings".

9. Choisissez un endroit où sauvegarder votre certificat et le processus est terminé.

B. Importer votre certificat SSL

1. Lancez la Microsoft Management Console (MMC) en tappant mmc dans Démarrer > Exécuter.

2. Cliquez sur File et choisissez Add/Remove Snap In.

3. Cliquez sur Add, choisissez Certificates et cliquez sur Add.

4. Choisissez Computer Account, cliquez sur Suivant, choisissez Local Computer et cliquez sur Finish.

5. Fermez les deux fenêtres et dans la MMC, appuyez sur le + pour développer la console Certificates (Local Computer).

6. Cherchez votre dossier personnel et développez Certificates.

7. Faites clic droit sur dossier "Personal Certificates Store" et choisissez All Tasks > Import.

8. Sélectionnez le certificat que vous souhaitez importer. Choisissez de "Automatically place the certificates in the certificate stores based on the type of the certificate" quand on vous le demandera.


III. Convertir mon fichier certificat avec OpenSSL

.PEM à .DER

openssl x509 -outform der -in certificat.pem -out certificat.der
openssl crl2pkcs7 -nocrl -certfile certificat.cer -out certificat.p7b -certfile CACert.cer
openssl pkcs12 -export -out certificat.pfx -inkey privateKey.key -in certificat.crt -certfile CACert.crt
openssl x509 -inform der -in certificat.cer -out certificat.pem
openssl pkcs12 -export -out certificat.pfx -inkey privateKey.key -in certificat.crt -certfile CACert.crt
openssl x509 -inform der -in certificat.cer -out certificat.pem
openssl pkcs7 -print_certs -in certificat.p7b -out certificat.cer
openssl pkcs7 -print_certs -in certificat.p7b -out certificat.cer
openssl pkcs12 -export -in certificat.cer -inkey privateKey.key -out certificat.pfx -certfile CACert.cer
openssl pkcs12 -in certificat.pfx -out certificat.cer -nodes

.PEM à .P7B

.PEM à .PFX

.DER à .PEM

.PEM à .PFX

.DER à .PEM

.P7B à .PEM

.P7B à .PFX

.PFX à .PEM


IV. Passer du PKCS12 au JKS (et inversement) avec Keytool

A. Passer du PKCS12 au JKS

Cette méthode sert notamment à transferer votre certificat d'une des plateformes Microsoft vers Tomcat.

Démarrer votre application Keytool et votre Keystore JKS puis entrer la commande suivante en modifiant les paramètres entre crochets (voir ci-dessous pour plus de détails) :

keytool -importkeystore -srckeystore [MON_FICHIER.p12] -srcstoretype pkcs12 -srcalias [ALIAS_SRC] -destkeystore [MON_KEYSTORE.jks] -deststoretype jks -deststorepass [PASSWORD_JKS] -destalias [ALIAS_DEST]

Paramètres à modifier

  • MON_FICHIER.p12 : il vous faut indiquer l'empaclement du fichier au format standard PKCS12 (dont l'extension est .p12 ou .pfx) afin de le convertir
  • ALIAS_SRC correspond à l'appellation de votre certificate dans le fichier PKCS12 (ex. tomcat). Attention: dans le cas d'un export de votre certificat à partir d'un serveur Windows générant aussi un fichier .PFX, vous devrez retrouver le nom "alias" créé par Windows. Vous pouvez éxecuter la commande : keytool -v -list -storetype pkcs12 -keystore FICHIER_PFX
  • MON_KEYSTORE.jks correspond au keystore dans lequel vous souhaitez ranger votre certificat. Un nouveau keystore sera automatiquement créé si ce champ ne correspond à aucun keystore déjà existant
  • PASSWORD_JKS : saisissez le mot de passe qui sera utilisé pour ouvrir keystore
  • ALIAS_DEST correspond à la future appellation de votre certificat dans le keystore
  • MON_KEYSTORE.jks correspond à l'emplacement du keystore à convertir
  • MON_FICHIER.p12 correspond à l'emplacement du fichier PKCS12 que vous allez créer
  • PASSWORD_PKCS12 correspond au mot de passe qui ouvrira le fichier PKCS12
  • ALIAS_SRC correspond à l'appellation de votre certificat dans le keysotre JKS
  • ALIAS_DEST correspond à la future appellation de votre certificat dans le fichier PKCS12

B. Passer du JKS au PKCS12

Cette méthode sert notamment à transferer votre certificat de Tomcat (qui utilise le format PKCS12) vers une des plateformes Microsoft (elles fonctionnent avec le format JKS)

Démarrer votre application Keytool et votre Keystore JKS puis entrer la commande suivante en modifiant les paramètres entre crochets (voir ci-dessous pour plus de détails) :

keytool -importkeystore -srckeystore [MON_KEYSTORE.jks] -destkeystore [MON_FICHIER.p12] -srcstoretype JKS -deststoretype PKCS12 -deststorepass [PASSWORD_PKCS12] -srcalias [ALIAS_SRC] -destalias [ALIAS_DEST]

Paramètres à modifier