PFX zu PEM Extractor
Öffne eine passwortgeschützte .pfx-/.p12-Datei in deinem Browser und teile sie in Zertifikat-, Chain- und Private-Key-PEM-Blöcke auf. Die Datei und ihr Passwort bleiben auf deinem Gerät.
Die .pfx-Datei und ihr Passwort werden vollständig in deinem Browser dekodiert und niemals hochgeladen – nichts wird an ArrayKit gesendet. Behandle den extrahierten Private Key als Geheimnis und bewahre ihn an einem sicheren Ort auf.
Konvertierst du stattdessen SSH-Schlüssel? Probiere den PPK zu PEM Converter.
Über PFX zu PEM Extractor
Dieser PFX-zu-PEM-Extractor öffnet eine passwortgeschützte .pfx- oder .p12-Datei (PKCS#12) und teilt sie in die separaten PEM-Blöcke auf, die die meisten Webserver und Werkzeuge erwarten: das Leaf-Zertifikat, etwaige CA-/Chain-Zertifikate und den Private Key. Ziehe das Archiv hinein oder wähle es über den Dateidialog, tippe sein Passwort ein, und das Tool dekodiert es direkt auf der Seite. Jeder PEM-Block erscheint in seinem eigenen Panel, das du als certificate.pem, private-key.pem und chain.pem kopieren oder herunterladen kannst. Nutze es, um ein Windows- oder IIS-Zertifikatsbündel nach nginx, Apache, HAProxy oder jedes Werkzeug zu bringen, das PEM-Dateien statt eines einzelnen PKCS#12-Blobs möchte. Ein falsches Passwort erzeugt einen klaren Fehler statt einer kaputten Datei. Die .pfx-Datei und ihr Passwort bleiben in deinem Browser und werden niemals hochgeladen.
Funktionen
- Öffnet passwortgeschützte .pfx- und .p12-Archive (PKCS#12)
- Teilt das Bündel in separate Zertifikat-, CA-Chain- und Private-Key-PEM-Blöcke auf
- Verarbeitet sowohl verschlüsselte (pkcs8ShroudedKeyBag) als auch einfache Private-Key-Bags
- Das erste Zertifikat wird als Leaf behandelt; der Rest wird zur CA-Chain
- Kopiere jeden PEM-Block oder lade ihn als certificate.pem, private-key.pem oder chain.pem herunter
- Klarer Fehler "incorrect password or not a valid PKCS#12 file" bei falschem Passwort
- Akzeptiert Dateien per Drag-and-Drop oder über die Dateiauswahl
- Läuft vollständig in deinem Browser – die Datei und das Passwort verlassen dein Gerät nie
So verwendest du PFX zu PEM Extractor
- Ziehe deine .pfx- oder .p12-Datei auf das Feld oder klicke, um sie auszuwählen.
- Tippe das Passwort ein, das das PKCS#12-Archiv schützt.
- Klicke auf Extract PEM, um die Datei in deinem Browser zu dekodieren.
- Kopiere jeden PEM-Block oder lade certificate.pem, private-key.pem und chain.pem herunter.
Beispiel
Eingabe
server.pfx (PKCS#12, password: ••••••)
Ausgabe
certificate.pem
-----BEGIN CERTIFICATE-----
MIID… (leaf certificate)
-----END CERTIFICATE-----
private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIE… (private key)
-----END RSA PRIVATE KEY-----
chain.pem
-----BEGIN CERTIFICATE-----
MIID… (intermediate CA)
-----END CERTIFICATE-----
Ein einzelnes .pfx-Bündel, aufgeteilt in Leaf-Zertifikat, Private Key und CA-Chain als PEM-Dateien.
Häufige Fehler & Fehlerbehebung
- Du siehst "Incorrect password or not a valid PKCS#12 file". — Tippe das exakte Passwort erneut ein, das bei der Erstellung der .pfx verwendet wurde (es beachtet die Groß-/Kleinschreibung), und bestätige, dass die Datei wirklich ein PKCS#12-Archiv mit .pfx- oder .p12-Endung ist, nicht eine einfache .cer oder .pem.
- Das Private-Key-Panel ist leer, aber das Zertifikat erscheint. — Die .pfx wurde ohne ihren Private Key exportiert (nur-Zertifikat-Export). Exportiere erneut aus der Quelle und wähle die Option, den Private Key einzuschließen, und versuche es dann noch einmal.
- Der CA-Chain-Block fehlt. — Nicht jede .pfx bündelt die Intermediate-Zertifikate. Wenn dein Server die vollständige Chain braucht, exportiere die .pfx mit aktivierter Option "alle Zertifikate im Pfad einschließen" oder lade die Intermediates von deiner CA herunter.
- nginx oder Apache lehnt die private-key.pem ab. — Manche Werkzeuge wollen einen bestimmten PEM-Header. Wenn du einen RSA PRIVATE KEY erhältst, aber ein PKCS#8 BEGIN PRIVATE KEY brauchst (oder umgekehrt), konvertiere ihn mit openssl pkey und lasse deinen Server auf die konvertierte Datei zeigen.
Häufig gestellte Fragen
- Was ist eine PFX-/P12-Datei?
- Eine .pfx- oder .p12-Datei ist ein PKCS#12-Archiv: ein einzelnes passwortgeschütztes Bündel, das ein Zertifikat, seine CA-/Chain-Zertifikate und den passenden Private Key zusammenpackt. Windows, IIS und viele Code-Signing-Werkzeuge exportieren in diesem Format, während nginx, Apache und die meisten Linux-Werkzeuge die Teile als separate PEM-Dateien wollen.
- Wie konvertiere ich eine PFX zu PEM?
- Ziehe die .pfx auf dieses Tool, gib ihr Passwort ein und klicke auf Extract PEM. Es teilt das Archiv in ein Leaf-Zertifikat, die CA-Chain und den Private Key auf, jeweils in einem eigenen kopierbaren Panel mit Download-Schaltfläche für certificate.pem, private-key.pem und chain.pem.
- Wird mein Private Key auf einen Server hochgeladen?
- Nein. Die .pfx-Datei und ihr Passwort werden vollständig in deinem Browser, auf deinem Gerät, gelesen und dekodiert. Nichts über die Datei oder ihren Inhalt wird an ArrayKit oder irgendwohin sonst gesendet.
- Warum brauche ich das Passwort?
- Ein PKCS#12-Archiv ist verschlüsselt, und der Private Key darin ist durch das Passwort geschützt, das bei der Erstellung der Datei gesetzt wurde. Ohne das korrekte Passwort kann das Archiv nicht entschlüsselt werden, sodass Zertifikat und Key nicht extrahiert werden können.
- Was ist der Unterschied zwischen Zertifikat, Chain und Private Key?
- Das Leaf-Zertifikat identifiziert deine Domain oder Identität, die CA-Chain sind die Intermediate-Zertifikate, die es bis zu einem vertrauenswürdigen Root zurückverknüpfen, und der Private Key ist die geheime Hälfte des Schlüsselpaars. Webserver brauchen üblicherweise das Leaf und den Key und oft auch die Chain.
- Unterstützt es sowohl die Endung .pfx als auch .p12?
- Ja. Beide sind dasselbe PKCS#12-Format – .pfx ist unter Windows üblich und .p12 anderswo. Der Extractor liest beide Endungen und jedes gültige PKCS#12-Archiv, unabhängig davon, wie es benannt ist.
Verwandte Tools
- PPK-↔-PEM-Konverter — Konvertiere private SSH-Schlüssel zwischen PuTTY .ppk und OpenSSH/PEM (RSA & Ed25519), lokal in deinem Browser.
- SSH-Schlüssel-Generator — Erzeuge Ed25519-, RSA- oder ECDSA-SSH-Schlüsselpaare in deinem Browser und lade sie herunter.
- Zertifikat- & Key-Abgleich — Prüfen, ob ein X.509-Zertifikat oder CSR und ein Private Key zusammengehören, per Public-Key-Fingerprint.
- JWT-Dekoder — Dekodiere Header und Payload eines JWT und prüfe exp/iat (ohne Verifizierung).
- Hash-Generator — SHA-256 / SHA-1 / SHA-384 / SHA-512 über die Web-Crypto-API.
Alle ArrayKit-Tools