PFX を PEM に変換(抽出)
パスワード保護された .pfx/.p12 ファイルをブラウザー内で開き、証明書・チェーン・秘密鍵の PEM ブロックに分割します。ファイルとパスワードはデバイス上に留まります。
.pfx ファイルとそのパスワードはすべてブラウザー内でデコードされ、アップロードされることはありません。ArrayKit に送信されるものは何もありません。抽出した秘密鍵は秘密として扱い、安全な場所に保管してください。
SSH 鍵を変換しますか? PPK to PEM コンバーターをお試しください。
PFX を PEM に変換 について
この PFX to PEM 変換ツールは、パスワード保護された .pfx または .p12(PKCS#12)ファイルを開き、多くの Web サーバーやツールが期待する個別の PEM ブロック、すなわちリーフ証明書、CA/チェーン証明書、秘密鍵に分割します。アーカイブをドラッグ&ドロップするかファイルダイアログで選び、パスワードを入力すると、ツールがその場でページ内でデコードします。各 PEM ブロックはそれぞれのパネルに表示され、certificate.pem、private-key.pem、chain.pem としてコピーまたはダウンロードできます。Windows や IIS の証明書バンドルを、単一の PKCS#12 ではなく PEM ファイルを求める nginx、Apache、HAProxy などに移す用途に使えます。パスワードが間違っている場合は、壊れたファイルではなく明確なエラーが表示されます。.pfx ファイルとそのパスワードはブラウザー内に留まり、アップロードされることはありません。
機能
- パスワード保護された .pfx と .p12(PKCS#12)アーカイブを開く
- バンドルを、証明書・CA チェーン・秘密鍵の個別の PEM ブロックに分割
- 隠蔽された(pkcs8ShroudedKeyBag)鍵バッグとプレーンな鍵バッグの両方に対応
- 最初の証明書をリーフとして扱い、残りを CA チェーンとする
- 各 PEM ブロックをコピー、または certificate.pem、private-key.pem、chain.pem としてダウンロード
- 誤ったパスワードには「incorrect password or not a valid PKCS#12 file」の明確なエラーを表示
- ドラッグ&ドロップまたはファイルピッカーでファイルを受け付け
- すべてブラウザー内で動作し、ファイルとパスワードがデバイスから外に出ることはありません
PFX を PEM に変換 の使い方
- .pfx または .p12 ファイルをボックスにドロップするか、クリックして選択します。
- PKCS#12 アーカイブを保護しているパスワードを入力します。
- 「Extract PEM」をクリックして、ブラウザー内でファイルをデコードします。
- 各 PEM ブロックをコピーするか、certificate.pem、private-key.pem、chain.pem をダウンロードします。
例
入力
server.pfx (PKCS#12, password: ••••••)
出力
certificate.pem
-----BEGIN CERTIFICATE-----
MIID… (leaf certificate)
-----END CERTIFICATE-----
private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIE… (private key)
-----END RSA PRIVATE KEY-----
chain.pem
-----BEGIN CERTIFICATE-----
MIID… (intermediate CA)
-----END CERTIFICATE-----
1つの .pfx バンドルを、リーフ証明書・秘密鍵・CA チェーンの PEM ファイルに分割した例。
よくあるエラーとトラブルシューティング
- 「Incorrect password or not a valid PKCS#12 file」と表示される。 — .pfx を作成したときに使った正確なパスワードを入力し直してください(大文字小文字を区別します)。また、ファイルが .cer や .pem ではなく、.pfx または .p12 拡張子の本物の PKCS#12 アーカイブであることを確認してください。
- 証明書は表示されるのに、秘密鍵のパネルが空になっている。 — .pfx が秘密鍵を含めずにエクスポートされています(証明書のみのエクスポート)。元のソースから、秘密鍵を含めるオプションを選んで再エクスポートし、もう一度試してください。
- CA チェーンのブロックが欠けている。 — すべての .pfx が中間証明書を含んでいるわけではありません。サーバーがフルチェーンを必要とする場合は、「パス内のすべての証明書を含める」を有効にして .pfx をエクスポートするか、CA から中間証明書をダウンロードしてください。
- nginx や Apache が private-key.pem を拒否する。 — 一部のツールは特定の PEM ヘッダーを求めます。RSA PRIVATE KEY が得られたが PKCS#8 の BEGIN PRIVATE KEY が必要な場合(またはその逆)、openssl pkey で変換し、変換後のファイルをサーバーに指定してください。
よくある質問
- PFX / P12 ファイルとは何ですか。
- .pfx または .p12 ファイルは PKCS#12 アーカイブです。証明書、その CA/チェーン証明書、対応する秘密鍵を1つにまとめた、パスワード保護されたバンドルです。Windows、IIS、多くのコード署名ツールがこの形式でエクスポートしますが、nginx、Apache、ほとんどの Linux ツールは各要素を個別の PEM ファイルとして求めます。
- PFX を PEM に変換するにはどうすればよいですか。
- .pfx をこのツールにドロップし、パスワードを入力して「Extract PEM」をクリックします。アーカイブがリーフ証明書、CA チェーン、秘密鍵に分割され、それぞれがコピー可能なパネルに表示され、certificate.pem、private-key.pem、chain.pem のダウンロードボタンが付きます。
- 秘密鍵はサーバーにアップロードされますか。
- いいえ。.pfx ファイルとそのパスワードは、すべてブラウザー内でデバイス上で読み込み・デコードされます。ファイルやその内容に関する情報が ArrayKit などに送信されることはありません。
- なぜパスワードが必要なのですか。
- PKCS#12 アーカイブは暗号化されており、中の秘密鍵はファイル作成時に設定されたパスワードで保護されています。正しいパスワードがなければアーカイブを復号できず、証明書と鍵を抽出できません。
- 証明書・チェーン・秘密鍵の違いは何ですか。
- リーフ証明書はドメインや身元を証明し、CA チェーンは信頼されたルートまでをつなぐ中間証明書、秘密鍵は鍵ペアの秘密の片割れです。Web サーバーは通常リーフと鍵を必要とし、しばしばチェーンも必要とします。
- .pfx と .p12 の両方の拡張子に対応していますか。
- はい。どちらも同じ PKCS#12 形式で、.pfx は Windows で一般的、.p12 はそれ以外で一般的です。この抽出ツールはどちらの拡張子も、名前に関わらず有効な PKCS#12 アーカイブなら読み込めます。
関連ツール
- PPK ↔ PEM 変換 — SSH 秘密鍵を PuTTY .ppk と OpenSSH/PEM(RSA・Ed25519)の間でブラウザ内でローカルに変換します。
- SSH 鍵ジェネレーター — Ed25519、RSA、ECDSA のSSH鍵ペアをブラウザ内で生成しダウンロードします。
- 証明書と秘密鍵の照合ツール — 証明書または CSR と秘密鍵が同じペアかを、ローカルで照合します。
- JWT デコーダー — JWTのヘッダーとペイロードをデコードし、exp/iat を確認します(検証なし)。
- ハッシュジェネレーター — Web Crypto API による SHA-256 / SHA-1 / SHA-384 / SHA-512。
すべての ArrayKit ツール