Extracteur PFX vers PEM
Ouvrez un fichier .pfx/.p12 protégé par mot de passe dans votre navigateur et divisez-le en blocs PEM de certificat, de chaîne et de clé privée. Le fichier et son mot de passe restent sur votre appareil.
Le fichier .pfx et son mot de passe sont décodés entièrement dans votre navigateur et ne sont jamais téléversés — rien n’est envoyé à ArrayKit. Traitez la clé privée extraite comme un secret et conservez-la en lieu sûr.
Vous convertissez plutôt des clés SSH ? Essayez le Convertisseur PPK vers PEM.
À propos de Extracteur PFX vers PEM
Cet extracteur PFX vers PEM ouvre un fichier .pfx ou .p12 (PKCS#12) protégé par mot de passe et le divise en blocs PEM distincts que la plupart des serveurs web et des outils attendent : le certificat feuille, les certificats de CA/chaîne éventuels et la clé privée. Déposez l’archive ou sélectionnez-la avec la boîte de dialogue de fichier, saisissez son mot de passe, et l’outil la décode directement dans la page. Chaque bloc PEM apparaît dans son propre panneau que vous pouvez copier ou télécharger sous certificate.pem, private-key.pem et chain.pem. Utilisez-le pour transférer un lot de certificats Windows ou IIS vers nginx, Apache, HAProxy ou tout outil qui attend des fichiers PEM plutôt qu’un unique blob PKCS#12. Un mauvais mot de passe produit une erreur claire plutôt qu’un fichier corrompu. Le fichier .pfx et son mot de passe restent dans votre navigateur et ne sont jamais téléversés.
Fonctionnalités
- Ouvre les archives .pfx et .p12 (PKCS#12) protégées par mot de passe
- Divise le lot en blocs PEM distincts de certificat, de chaîne de CA et de clé privée
- Gère à la fois les sacs de clés privées chiffrés (pkcs8ShroudedKeyBag) et non chiffrés
- Le premier certificat est traité comme la feuille ; les autres deviennent la chaîne de CA
- Copiez chaque bloc PEM ou téléchargez-le sous certificate.pem, private-key.pem ou chain.pem
- Erreur claire « incorrect password or not a valid PKCS#12 file » en cas de mauvais mot de passe
- Accepte les fichiers par glisser-déposer ou via le sélecteur de fichiers
- S’exécute entièrement dans votre navigateur — le fichier et le mot de passe ne quittent jamais votre appareil
Comment utiliser Extracteur PFX vers PEM
- Déposez votre fichier .pfx ou .p12 sur la zone, ou cliquez pour le choisir.
- Saisissez le mot de passe qui protège l’archive PKCS#12.
- Cliquez sur Extract PEM pour décoder le fichier dans votre navigateur.
- Copiez chaque bloc PEM, ou téléchargez certificate.pem, private-key.pem et chain.pem.
Exemple
Entrée
server.pfx (PKCS#12, password: ••••••)
Sortie
certificate.pem
-----BEGIN CERTIFICATE-----
MIID… (leaf certificate)
-----END CERTIFICATE-----
private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIE… (private key)
-----END RSA PRIVATE KEY-----
chain.pem
-----BEGIN CERTIFICATE-----
MIID… (intermediate CA)
-----END CERTIFICATE-----
Un unique lot .pfx divisé en fichiers PEM de certificat feuille, de clé privée et de chaîne de CA.
Erreurs courantes et dépannage
- Vous voyez « Incorrect password or not a valid PKCS#12 file ». — Ressaisissez le mot de passe exact utilisé lors de la création du .pfx (il est sensible à la casse) et confirmez que le fichier est bien une archive PKCS#12 avec une extension .pfx ou .p12, et non un simple .cer ou .pem.
- Le panneau de la clé privée est vide mais le certificat apparaît. — Le .pfx a été exporté sans sa clé privée (export du certificat seul). Réexportez depuis la source en choisissant l’option d’inclure la clé privée, puis réessayez.
- Le bloc de la chaîne de CA est manquant. — Tous les .pfx ne regroupent pas les certificats intermédiaires. Si votre serveur a besoin de la chaîne complète, exportez le .pfx avec l’option « include all certificates in the path » activée, ou téléchargez les intermédiaires depuis votre CA.
- nginx ou Apache rejette le private-key.pem. — Certains outils attendent un en-tête PEM précis. Si vous obtenez une RSA PRIVATE KEY mais qu’il vous faut une PKCS#8 BEGIN PRIVATE KEY (ou inversement), convertissez-la avec openssl pkey, puis pointez votre serveur vers le fichier converti.
Foire aux questions
- Qu’est-ce qu’un fichier PFX / P12 ?
- Un fichier .pfx ou .p12 est une archive PKCS#12 : un unique lot protégé par mot de passe qui regroupe un certificat, ses certificats de CA/chaîne et la clé privée correspondante. Windows, IIS et de nombreux outils de signature de code exportent dans ce format, tandis que nginx, Apache et la plupart des outils Linux veulent les éléments sous forme de fichiers PEM distincts.
- Comment convertir un PFX en PEM ?
- Déposez le .pfx sur cet outil, saisissez son mot de passe et cliquez sur Extract PEM. Il divise l’archive en un certificat feuille, la chaîne de CA et la clé privée, chacun affiché dans son propre panneau copiable avec un bouton de téléchargement pour certificate.pem, private-key.pem et chain.pem.
- Ma clé privée est-elle téléversée vers un serveur ?
- Non. Le fichier .pfx et son mot de passe sont lus et décodés entièrement dans votre navigateur, sur votre appareil. Rien concernant le fichier ou son contenu n’est envoyé à ArrayKit ni ailleurs.
- Pourquoi ai-je besoin du mot de passe ?
- Une archive PKCS#12 est chiffrée, et la clé privée qu’elle contient est protégée par le mot de passe défini à la création du fichier. Sans le bon mot de passe, l’archive ne peut pas être déchiffrée, et le certificat et la clé ne peuvent donc pas être extraits.
- Quelle est la différence entre le certificat, la chaîne et la clé privée ?
- Le certificat feuille identifie votre domaine ou votre identité, la chaîne de CA regroupe les certificats intermédiaires qui le relient à une racine de confiance, et la clé privée est la moitié secrète de la paire de clés. Les serveurs web ont généralement besoin de la feuille et de la clé, et souvent aussi de la chaîne.
- Prend-il en charge à la fois les extensions .pfx et .p12 ?
- Oui. Les deux correspondent au même format PKCS#12 — .pfx est courant sous Windows et .p12 ailleurs. L’extracteur lit l’une ou l’autre extension et toute archive PKCS#12 valide, quel que soit son nom.
Outils associés
- Convertisseur PPK ↔ PEM — Convertissez des clés SSH privées entre PuTTY .ppk et OpenSSH/PEM (RSA et Ed25519), localement dans votre navigateur.
- Générateur de clés SSH — Génère des paires de clés SSH Ed25519, RSA ou ECDSA dans votre navigateur et téléchargez-les.
- Vérificateur certificat / clé privée — Vérifiez si un certificat SSL et une clé privée vont ensemble, avec les empreintes de clé publique, dans votre navigateur.
- Décodeur de JWT — Décode l’en-tête et la charge utile d’un JWT et inspecte exp/iat (sans vérification).
- Générateur de hachage — SHA-256 / SHA-1 / SHA-384 / SHA-512 via l’API Web Crypto.
Tous les outils ArrayKit