Wenn man ein vorhandes PFX-(PKCS#12-)Zertifikat in seine Einzelteile zerlegen will, dann benötigt man OpenSSL. Das ist z.B. notwendig, wenn man bei All-Inkl statt des angebotenem kostenlosem Let´s Encrypt sein eigenes Wildcard-Zertifikat einbinden möchte. Ein PFX enthält alles im Paket: das Zertifikat, den privaten Schlüssel und oft auch die CA-Kette. Man muss es nur auseinandernehmen.

Erster Schritt: Private Key aus dem PFX lösen

openssl pkcs12 -in dein.pfx -nocerts -out key.pem

Man wird nach dem PFX-Passwort gefragt und anschließend nach einem neuen Passwort, mit dem der exportierte private Schlüssel verschlüsselt wird. Wenn man den Key unverschlüsselt braucht (manchmal notwendig für bestimmte Dienste), kann man ihn entfernen:

openssl rsa -in key.pem -out key_unencrypted.pem

Zweiter Schritt: Das eigentliche Zertifikat extrahieren

openssl pkcs12 -in dein.pfx -clcerts -nokeys -out cert.crt

Dritter Schritt: Optional die komplette CA-Kette exportieren

openssl pkcs12 -in dein.pfx -cacerts -nokeys -out ca_chain.crt

Man bekommt damit also:
– key.pem oder key_unencrypted.pem (privater Schlüssel)
– cert.crt (das öffentliches Zertifikat)
– ca_chain.crt (Zwischenzertifikate)