OpenSSL によるキーペア (*.pfx) の作成

IIS マネージャから CSR を作成した場合は、秘密鍵の情報は自動的に Windows の証明書ストアというセキュアな場所に保存されています。

このため、証明機関から入手したサーバー証明書を Windows に取り込むには、単にサーバー証明書を指定してインポートを実施すれば済みます。 (サーバー証明書に対になる秘密鍵は既に取り込まれているからです)

しかしながら、OpenSSL で CSR を作成すると、「秘密鍵」と「CSR」がそれぞれファイルに出力されます。自動的には証明書ストアには格納されません。

このため、OpenSSL などを利用して CSR を作成した場合は、証明機関からサーバー証明書を発行してもらったら、 Windows の証明書ストア内にサーバー証明書と秘密鍵を一緒に取り込むために、キーペア (*.pfx) を作成します。

キーペアというのは、「秘密鍵」と「サーバー証明書＝公開鍵」がペアになっているファイルということです。

OpenSSL を用いてサーバー証明書 foo.cert.pem と秘密鍵 foo.key.pem から foo.pfx を作成するには、次のコマンドを用います。

$ openssl pkcs12 -export -in foo.cert.pem -inkey foo.key.pem -out foo.pfx