Convertir un certificat du format PFX au format PEM

Les certificats SSL sont utilisés pour les serveurs virtuels d’équilibrage de charge SSL et les serveurs virtuels Citrix Gateway. Les certificats PEM sont des fichiers ASCII codés en Base64. Les certificats PEM peuvent être ouverts dans l’éditeur de texte/le bloc-notes et vous constatez qu’ils contiennent des instructions « —BEGIN CERTIFICATE— » et « —END CERTIFICATE— ».

Pour un accès sécurisé et sécurisé, vous devez installer un certificat de serveur SSL sur le serveur Citrix Gateway. Le fichier de certificat téléchargé doit présenter les caractéristiques suivantes :

  • L’autorité de certification (CA) approuvée par les utilisateurs finaux doit émettre le certificat de serveur. Pour obtenir de meilleurs résultats, utilisez une autorité de certification commerciale telle que Verisign, Thawte ou GeoTrust.

  • Le certificat doit être au format PEM (Privacy Enhanced Mail), un format texte qui est un codage Base64 du format DER (Distinguished Encoding Rules) binaire.

  • Le fichier de certificat doit inclure une clé privée et la clé privée ne doit pas être chiffrée. Aucun mot de passe ne doit être requis pour utiliser le fichier PEM.

  • Tous les certificats intermédiaires nécessaires doivent être ajoutés à la fin du fichier PEM.

Suivez la procédure suivante pour convertir un certificat PFX au format PEM à l’aide de l’assistant Citrix Gateway :

  1. Accédez à Gestion du trafic, sélectionnez le nœud SSL.

  2. Cliquez sur le lien Import PKCS #12.

    Lien vers l'importation de certificats

  3. Spécifiez le nom de fichier souhaité pour le certificat PEM dans le champ Nom du fichier de sortie.

  4. Cliquez sur Parcourir et sélectionnez le certificat PFX que vous souhaitez convertir au format PEM. Certains utilisateurs préfèrent télécharger le certificat dans le répertoire /NCSONfig/SSL et l’utiliser à partir de là. Si le certificat PFX est stocké sur Citrix Gateway, choisissez l’option Appliance, et s’il est stocké sur votre station de travail, il utilise Local.

    Détails de l'importation des certificats

  5. Spécifiez le mot de passe d’importation.

  6. Si le fichier est codé, sélectionnez DES ou 3DES comme format d’encodage :

  7. Cliquez sur OK.

  8. Spécifiez la phrase de passe PEM et la phrase de passe Verify PEM.

  9. Cliquez sur le lien Manage Certificates/Keys/CSR pour afficher les fichiers de certificats PEM convertis.

  10. Vous pouvez afficher le fichier PFX téléchargé avec le fichier PEM converti.

    Fichiers PFX disponibles

  11. Développez le nœud SSL.

  12. Sélectionnez le nœud Certificats.

  13. Cliquez sur Installer.

  14. Spécifiez un nom de paire de clés de certificat dans l’assistant d’installation du certificat.

  15. Accédez au fichier PEM pour obtenir le nom du fichier de certificat et le nom du fichier de clé privée.

  16. Spécifiez le mot de passe.

  17. Cliquez sur Installer.

OpenSSL utility

Si vous avez demandé et installé un certificat sur un serveur Windows à l’aide de l’assistant de certificat IIS (Internet Information Service), vous pouvez exporter ce certificat avec sa clé privée vers un fichier PFX (Personal Information Exchange). Pour importer ce certificat sur Citrix Gateway, vous devez convertir le fichier PFX au format PEM non chiffré.

Vous pouvez utiliser l’utilitaire open source OpenSSL pour effectuer la conversion de PFX en PEM. Téléchargez une distribution Win32 de OpenSSL depuis Win32 OpenSSL.

Vous pouvez également avoir besoin de fichiers redistribuables C++ si vous souhaitez utiliser OpenSSL. Téléchargez-le à partir du package redistribuable Microsoft Visual C++ 2008 (x86).

Pour convertir un fichier PFX en fichier PEM, effectuez les opérations suivantes sur un ordinateur Windows :

  1. Téléchargez et installez le OpenSSL package Win32 à partir de Win32 OpenSSL.

  2. Créez un dossier c:\certs et copiez le fichier yourcert.pfx dans le dossier c:\certs.

  3. Ouvrez l’invite de commande et accédez au répertoire OpenSSL \ bin : cd %homedrive%\OpenSSL\bin

  4. Exécutez la commande suivante pour convertir le fichier PFX en un fichier PEM non chiffré (sur une seule ligne) : OpenSSL pkcs12 -in c:\certs\yourcert.pfx -out c:\certs\cag.pem —nodes

    Invite de commande

  5. Lorsque vous êtes invité à entrer le mot de passe d’importation, saisissez le mot de passe que vous avez utilisé lors de l’exportation du certificat vers un fichier PFX. Vous devez recevoir un message indiquant que MAC a vérifié OK.

    Verification

  6. Pointez un navigateur vers le portail d’administration Citrix Gateway ou le port HTTPS 9001 : https://netscaler-gateway-server:9001.

  7. Ouvrez une session en tant qu’utilisateur root. Le mot de passe par défaut est rootadmin.

  8. Cliquez sur le lien Maintenance en haut de la page.

  9. Cliquez sur le bouton Parcourir en regard du champ Upload Private Key+Certificate (.pem). Accédez au fichier c:\certs\cag.pem, puis cliquez sur Charger.

  10. Redémarrez Citrix Gateway pour que le nouveau certificat SSL soit appliqué.

Convertir un certificat du format PFX au format PEM