Если уже на протяжении 4
лет, я каждые три месяца занимаюсь перевыпуском сертификата для сервисов Remote Desktop Gateway & Exchange 2010
, то сейчас мне это уже надоело, ну точнее почему-то перестала работать через wacs.exe
процедура выпуска сертификата через DNS TXT
записи. Решил посмотреть в сторону приобретения сертификата для внешнего доменного имени mail.ekzorchik.ru
через нашего партнера AdminVPS
как наиболее адекватного в тех решениях, которые используются в компании.
"Сертификат от Let’s Encrypt для домена @ekzorchikdom.ru закончился"
"Как экспортировать Let’s Encrypted сертификат с Windows Server 2012 R2"
На заметку: Замечю что ресурс AdminVPS
предоставляет сертификат только в PEM
формате, ключ и CSR
отравляются исключительно отдельным ключом с темой письма "Генерация на CSR запрос"
. Ключ можно сконвертировать в формат key
самостоятельно.
На заметку:
Privacy Enhanced Mail (PEM) – один из наиболее часто встречающихся форматов, его легко идентифицировать по так называемой «оболочке PEM», находящейся в начале и конце и определяющей содержание.
Например,
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Или
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Или
-----BEGIN PKCS7-----
-----END PKCS7-----
PKCS #7 B (P7B) – Расшифровывается как «Cryptographic Message Syntax Standard». Этот формат содержит полную цепочку сертификатов включая корневой, промежуточный и сертификат сервера, на который он выпущен.
PKCS #12/PFX/P12 – формат «Personal Information Exchange Syntax Standard». Файл .pfx содержит приватный ключ и публичный ключ. Также он может содержать корневой и промежуточный сертификаты. Файлы PFX защищены паролем и могут быть импортированы во многие браузеры и серверы, такие как Связка ключей на Mac OS, IIS, Apache Tomcat и другие.
Base64 – стандартизированная кодировка файлов .pem, хотя файлы .cer и .crt также могут её использовать.
DER – Distinguished Encoding Rules; бинарный формат, распространённый среди сертификатов X.509.
Шаг №1:
Через личный кабинет AdminVPS я произвел заказ сертификата на доменное имя mail.ekzorchik.ru
https://my.adminvps.ru - email&pass - Услуги - SSL сертификаты
— нажимаю "Заказать"
, в моем случае мне досточно:
Услуга: GlobalSign AlphaSSL за 2169р/год.
Шаг №2:
На почту пришло письмо, что Ваш сертификат готов и представляет из себя:
(Formatted for majority of web server software including IIS and Apache based servers):
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
копируем содержимое, выше не забыв строки выше и сохраняем, как: W:\firma\tips_certificate\mail.ekzorchik.ru\mail.ekzorchik.ru_do_27_08_2026.cer
и Your SSL Certificate Details (PKCS7 format)
-----BEGIN PKCS7-----
-----END PKCS7-----
копируем содержимое, выше не забыв строки выше и сохраняем, как:
W:\firma\tips_certificate\mail.ekzorchik.ru\mail.ekzorchik.ru_27_08_2026.p7b
На заметку: Формат ".p7b"
содержит только открытый ключ и цепочки сертификатов, но не закрытый ключ.
На заметку: Формат ".cer"
содержит только публичный ключ.
а также еще ранее письмо с содержимым:
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
последний сохраняем, как:
W:\firma\tips_certificate\mail.ekzorchik.ru\mail.ekzorchik.ru_private_27_08_2026.key
На заметку: Я долго не мог понять где взять этот key файл, а оказалось, что в письме с запросом чуть ниже если промотать бегунок в письме и значился этот приватный ключ для доменного имени. Моя невнимательность.
Шаг №3:
Скачиваем для Windows
системы: Win32 OpenSSL Installer (https://slproweb.com/download/Win64OpenSSL-3_5_2.msi)
и устанавливаем в текущую систему.
Путь установки: C:\Program Files\OpenSSL-Win64\bin
Добавляю в переменные путь установки:
Win + R -> control.exe - Просмотр: Мелкие значки - Система - Дополнительные параметры системы
— вкладка "Дополнительно" - Переменные среды
— и в "Системные переменные"
, находим переменную "Path"
нажимаем "Изменить"
и добавляем через "Создать"
Затем нажимаем "ОК", "ОК", "ОК".
Проверяю, что утилита через консоль командной строки вызывается, у меня текущая система — это Windows 10 Pro
Win + X -> Командная строка (Администратор)
C:\Windows\system32>openssl -v
OpenSSL 3.5.2 5 Aug 2025 (Library: OpenSSL 3.5.2 5 Aug 2025)
Шаг №4:
Нужно скачать с официального сайта GlobalSign
корневой сертификат:
https://secure.globalsign.net/cacert/Root-R1.crt
C:\mail.ekzorchik.ru\Root-R1.crt
Шаг №5:
Копирую файлы p7b,crt,key
в каталог mail.ekzorchik.ru
ниже что получается:
c:\mail.ekzorchik.ru>dir
mail.ekzorchik.ru_27_08_2026.p7b
Root-R1.crt
mail.ekzorchik.ru_private_27_08_2026.key
Шаг №6:
Начинаю процесс конвертации (Конвертирование PKCS #7 (P7B) и приватного ключа в PKCS #12 / PFX:)
c:\mail.ekzorchik.ru>openssl pkcs7 -print_certs -in mail.ekzorchik.ru_27_08_2026.p7b -out mail.ekzorchik.ru_27_08_2026.cer
c:\mail.ekzorchik.ru>openssl pkcs12 -export -in mail.ekzorchik.ru_27_08_2026.cer -inkey privateKey.key -out mail.ekzorchik.ru_27_08_2026.pfx -certfile Root-R1.crt
Could not open file or uri for loading private key from -inkey file from privateKey.key: No such file or directory
— если вы видите это значит у вас в папке нет key
файла (это файл содержащий приватный ключ для доменного имени mail.ekzorchik.ru
)
c:\mail.ekzorchik.ru>openssl pkcs12 -export -in mail.ekzorchik.ru_27_08_2026.cer -inkey mail.ekzorchik.ru_private_27_08_2026.key -out mail.ekzorchik.ru_27_08_2026.pfx -certfile Root-R1.crt
Enter Export Password: задаю пароль, к примеру Aa1234567aA
Verifying - Enter Export Password: подтверждаю задаваемый пароль, к примеру Aa1234567aA
c:\mail.ekzorchik.ru>
Шаг №7:
Вот теперь для сервисов внутри компании, а именно для Remote Desktop Gateway & Exchange 2010
я могу импортировать полученный файл сертификата (mail.ekzorchik.ru_27_08_2026.pfx)
в формате PFX
для использования доменного имени mail.ekzorchik.ru
Шаг №8:
Если Вам в процессе что-то не понятно по сертификаты, то вы гуглите либо же можете написать в поддержку на support@globalsign.com
В теме письма не забудьте указать: кратко что не получается и идентификатор, в рамках которого через сайт партнера в лице AdminVPS
вы делаете обращение, к примеру: where can I get privateKey.key file (CEDX250827739994)
это я не мог понять где взять приватный ключ, а оказалось в итоге что в письме от партнера AdminVPS
в письме где
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
чуть ниже были строки
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
которые мне и были нужны для получения файла: mail.ekzorchik.ru_private_27_08_2026.key
Но я считаю, что порой невнимательно в действиях, которые никогда не делались это к лучшему, т.к. заставляет разобраться что не так и с кем можно связаться дабы решить проблему.
На заметку: от 27.08.2025
обнаружил нюанс когда перенес pfx
файл на систему с целью перепрописать сертификат для сервиса RDG
, но получил что пароль на pfx
сертификат не верен, как разобрался и что сделал смотри в заметке: "Нюанс после конвертации p7b в pfx сертификата"
Итого практическая заметка успешно завершена, с уважением автор блога Олло Александр aka ekzorchik.