Если уже на протяжении 4 лет, я каждые три месяца занимаюсь перевыпуском сертификата для сервисов Remote Desktop Gateway & Exchange 2010, то сейчас мне это уже надоело, ну точнее почему-то перестала работать через wacs.exe процедура выпуска сертификата через DNS TXT записи. Решил посмотреть в сторону приобретения сертификата для внешнего доменного имени mail.ekzorchik.ru через нашего партнера AdminVPS как наиболее адекватного в тех решениях, которые используются в компании.
"Сертификат от Let’s Encrypt для домена @ekzorchikdom.ru закончился""Как экспортировать Let’s Encrypted сертификат с Windows Server 2012 R2"
На заметку: Замечю что ресурс AdminVPS предоставляет сертификат только в PEM формате, ключ и CSR отравляются исключительно отдельным ключом с темой письма "Генерация на CSR запрос". Ключ можно сконвертировать в формат key самостоятельно.
На заметку:
Privacy Enhanced Mail (PEM) – один из наиболее часто встречающихся форматов, его легко идентифицировать по так называемой «оболочке PEM», находящейся в начале и конце и определяющей содержание.
Например,
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Или
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Или
-----BEGIN PKCS7-----
-----END PKCS7-----
PKCS #7 B (P7B) – Расшифровывается как «Cryptographic Message Syntax Standard». Этот формат содержит полную цепочку сертификатов включая корневой, промежуточный и сертификат сервера, на который он выпущен.
PKCS #12/PFX/P12 – формат «Personal Information Exchange Syntax Standard». Файл .pfx содержит приватный ключ и публичный ключ. Также он может содержать корневой и промежуточный сертификаты. Файлы PFX защищены паролем и могут быть импортированы во многие браузеры и серверы, такие как Связка ключей на Mac OS, IIS, Apache Tomcat и другие.
Base64 – стандартизированная кодировка файлов .pem, хотя файлы .cer и .crt также могут её использовать.
DER – Distinguished Encoding Rules; бинарный формат, распространённый среди сертификатов X.509.
Шаг №1: Через личный кабинет AdminVPS я произвел заказ сертификата на доменное имя mail.ekzorchik.ru
https://my.adminvps.ru - email&pass - Услуги - SSL сертификаты — нажимаю "Заказать", в моем случае мне досточно:
Услуга: GlobalSign AlphaSSL за 2169р/год.
Шаг №2: На почту пришло письмо, что Ваш сертификат готов и представляет из себя:
(Formatted for majority of web server software including IIS and Apache based servers):
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
копируем содержимое, выше не забыв строки выше и сохраняем, как: W:\firma\tips_certificate\mail.ekzorchik.ru\mail.ekzorchik.ru_do_27_08_2026.cer
и Your SSL Certificate Details (PKCS7 format)
-----BEGIN PKCS7-----
-----END PKCS7-----
копируем содержимое, выше не забыв строки выше и сохраняем, как:
W:\firma\tips_certificate\mail.ekzorchik.ru\mail.ekzorchik.ru_27_08_2026.p7b
На заметку: Формат ".p7b" содержит только открытый ключ и цепочки сертификатов, но не закрытый ключ.
На заметку: Формат ".cer" содержит только публичный ключ.
а также еще ранее письмо с содержимым:
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
последний сохраняем, как:
W:\firma\tips_certificate\mail.ekzorchik.ru\mail.ekzorchik.ru_private_27_08_2026.key
На заметку: Я долго не мог понять где взять этот key файл, а оказалось, что в письме с запросом чуть ниже если промотать бегунок в письме и значился этот приватный ключ для доменного имени. Моя невнимательность.
Шаг №3: Скачиваем для Windows системы: Win32 OpenSSL Installer (https://slproweb.com/download/Win64OpenSSL-3_5_2.msi) и устанавливаем в текущую систему.
На заметку: К примеру на 22.09.2025 ссылка выше на OpenSSL-3_5_2 уже не актуальна, сейчас 3.5.3
Путь установки: C:\Program Files\OpenSSL-Win64\bin
Добавляю в переменные путь установки:
Win + R -> control.exe - Просмотр: Мелкие значки - Система - Дополнительные параметры системы — вкладка "Дополнительно" - Переменные среды — и в "Системные переменные", находим переменную "Path" нажимаем "Изменить" и добавляем через "Создать"
Затем нажимаем "ОК", "ОК", "ОК".
Проверяю, что утилита через консоль командной строки вызывается, у меня текущая система — это Windows 10 Pro
Win + X -> Командная строка (Администратор)
C:\Windows\system32>openssl -v
OpenSSL 3.5.2 5 Aug 2025 (Library: OpenSSL 3.5.2 5 Aug 2025)
Шаг №4: Нужно скачать с официального сайта GlobalSign корневой сертификат:
https://secure.globalsign.net/cacert/Root-R1.crt
C:\mail.ekzorchik.ru\Root-R1.crt
Шаг №5: Копирую файлы p7b,crt,key в каталог mail.ekzorchik.ruниже что получается:
c:\mail.ekzorchik.ru>dir
mail.ekzorchik.ru_27_08_2026.p7b
Root-R1.crt
mail.ekzorchik.ru_private_27_08_2026.key
Шаг №6: Начинаю процесс конвертации (Конвертирование PKCS #7 (P7B) и приватного ключа в PKCS #12 / PFX:)
c:\mail.ekzorchik.ru>openssl pkcs7 -print_certs -in mail.ekzorchik.ru_27_08_2026.p7b -out mail.ekzorchik.ru_27_08_2026.cer
c:\mail.ekzorchik.ru>openssl pkcs12 -export -in mail.ekzorchik.ru_27_08_2026.cer -inkey privateKey.key -out mail.ekzorchik.ru_27_08_2026.pfx -certfile Root-R1.crt
Could not open file or uri for loading private key from -inkey file from privateKey.key: No such file or directory — если вы видите это значит у вас в папке нет key файла (это файл содержащий приватный ключ для доменного имени mail.ekzorchik.ru)
c:\mail.ekzorchik.ru>openssl pkcs12 -export -in mail.ekzorchik.ru_27_08_2026.cer -inkey mail.ekzorchik.ru_private_27_08_2026.key -out mail.ekzorchik.ru_27_08_2026.pfx -certfile Root-R1.crt
Enter Export Password: задаю пароль, к примеру Aa1234567aA
Verifying - Enter Export Password: подтверждаю задаваемый пароль, к примеру Aa1234567aA
c:\mail.ekzorchik.ru>
Шаг №7: Вот теперь для сервисов внутри компании, а именно для Remote Desktop Gateway & Exchange 2010 я могу импортировать полученный файл сертификата (mail.ekzorchik.ru_27_08_2026.pfx) в формате PFX для использования доменного имени mail.ekzorchik.ru
Шаг №8: Если Вам в процессе что-то не понятно по сертификаты, то вы гуглите либо же можете написать в поддержку на support@globalsign.com
В теме письма не забудьте указать: кратко что не получается и идентификатор, в рамках которого через сайт партнера в лице AdminVPS вы делаете обращение, к примеру: where can I get privateKey.key file (CEDX250827739994)
это я не мог понять где взять приватный ключ, а оказалось в итоге что в письме от партнера AdminVPS в письме где
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
чуть ниже были строки
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
которые мне и были нужны для получения файла: mail.ekzorchik.ru_private_27_08_2026.key
Но я считаю, что порой невнимательно в действиях, которые никогда не делались это к лучшему, т.к. заставляет разобраться что не так и с кем можно связаться дабы решить проблему.
На заметку: от 27.08.2025 обнаружил нюанс когда перенес pfx файл на систему с целью перепрописать сертификат для сервиса RDG, но получил что пароль на pfx сертификат не верен, как разобрался и что сделал смотри в заметке: "Нюанс после конвертации p7b в pfx сертификата"
Итого практическая заметка успешно завершена, с уважением автор блога Олло Александр aka ekzorchik.