Extrator PFX para PEM
Abra um arquivo .pfx/.p12 protegido por senha no seu navegador e divida-o em blocos PEM de certificado, cadeia e chave privada. O arquivo e a senha ficam no seu dispositivo.
O arquivo .pfx e sua senha são decodificados inteiramente no seu navegador e nunca são enviados — nada vai para a ArrayKit. Trate a chave privada extraída como um segredo e guarde-a em um lugar seguro.
Convertendo chaves SSH em vez disso? Experimente o Conversor PPK para PEM.
Sobre Extrator PFX para PEM
Este extrator PFX para PEM abre um arquivo .pfx ou .p12 (PKCS#12) protegido por senha e divide-o nos blocos PEM separados que a maioria dos servidores web e ferramentas espera: o certificado da folha, quaisquer certificados de CA/cadeia e a chave privada. Solte o arquivo ou escolha-o pela janela de arquivos, digite a senha e a ferramenta decodifica tudo direto na página. Cada bloco PEM aparece em seu próprio painel, que você pode copiar ou baixar como certificate.pem, private-key.pem e chain.pem. Use-o para mover um pacote de certificado do Windows ou IIS para nginx, Apache, HAProxy ou qualquer ferramenta que queira arquivos PEM em vez de um único blob PKCS#12. Uma senha errada produz um erro claro em vez de um arquivo corrompido. O arquivo .pfx e sua senha ficam no seu navegador e nunca são enviados.
Recursos
- Abre arquivos .pfx e .p12 (PKCS#12) protegidos por senha
- Divide o pacote em blocos PEM separados de certificado, cadeia de CA e chave privada
- Lida tanto com chaves protegidas (pkcs8ShroudedKeyBag) quanto com bags de chave privada simples
- O primeiro certificado é tratado como a folha; o restante vira a cadeia de CA
- Copie cada bloco PEM ou baixe-o como certificate.pem, private-key.pem ou chain.pem
- Erro claro de "incorrect password or not a valid PKCS#12 file" quando a senha está errada
- Aceita arquivos por arrastar e soltar ou pelo seletor de arquivos
- Roda inteiramente no seu navegador — o arquivo e a senha nunca saem do seu dispositivo
Como usar Extrator PFX para PEM
- Solte seu arquivo .pfx ou .p12 na caixa, ou clique para escolhê-lo.
- Digite a senha que protege o arquivo PKCS#12.
- Clique em Extrair PEM para decodificar o arquivo no seu navegador.
- Copie cada bloco PEM ou baixe certificate.pem, private-key.pem e chain.pem.
Exemplo
Entrada
server.pfx (PKCS#12, password: ••••••)
Saída
certificate.pem
-----BEGIN CERTIFICATE-----
MIID… (leaf certificate)
-----END CERTIFICATE-----
private-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIIE… (private key)
-----END RSA PRIVATE KEY-----
chain.pem
-----BEGIN CERTIFICATE-----
MIID… (intermediate CA)
-----END CERTIFICATE-----
Um único pacote .pfx dividido em arquivos PEM de certificado da folha, chave privada e cadeia de CA.
Erros comuns e solução de problemas
- Você vê "Incorrect password or not a valid PKCS#12 file". — Redigite a senha exata usada quando o .pfx foi criado (ela diferencia maiúsculas de minúsculas) e confirme que o arquivo é realmente um arquivo PKCS#12 com extensão .pfx ou .p12, não um simples .cer ou .pem.
- O painel da chave privada está vazio, mas o certificado aparece. — O .pfx foi exportado sem a chave privada (exportação somente do certificado). Reexporte a partir da origem, escolhendo a opção de incluir a chave privada, e tente de novo.
- O bloco da cadeia de CA está faltando. — Nem todo .pfx inclui os certificados intermediários. Se seu servidor precisa da cadeia completa, exporte o .pfx com "incluir todos os certificados no caminho" ativado, ou baixe os intermediários da sua CA.
- O nginx ou o Apache rejeita o private-key.pem. — Algumas ferramentas querem um cabeçalho PEM específico. Se você obtém um RSA PRIVATE KEY mas precisa de um PKCS#8 BEGIN PRIVATE KEY (ou vice-versa), converta-o com openssl pkey e aponte seu servidor para o arquivo convertido.
Perguntas frequentes
- O que é um arquivo PFX / P12?
- Um arquivo .pfx ou .p12 é um arquivo PKCS#12: um único pacote protegido por senha que reúne um certificado, seus certificados de CA/cadeia e a chave privada correspondente. Windows, IIS e muitas ferramentas de assinatura de código exportam nesse formato, enquanto nginx, Apache e a maioria das ferramentas Linux querem as partes como arquivos PEM separados.
- Como converto um PFX para PEM?
- Solte o .pfx nesta ferramenta, informe a senha e clique em Extrair PEM. Ela divide o arquivo em um certificado da folha, a cadeia de CA e a chave privada, cada um mostrado em seu próprio painel copiável, com um botão de download para certificate.pem, private-key.pem e chain.pem.
- Minha chave privada é enviada para um servidor?
- Não. O arquivo .pfx e sua senha são lidos e decodificados inteiramente no seu navegador, no seu dispositivo. Nada sobre o arquivo ou seu conteúdo é enviado para a ArrayKit nem para qualquer outro lugar.
- Por que preciso da senha?
- Um arquivo PKCS#12 é criptografado, e a chave privada dentro dele é protegida pela senha definida quando o arquivo foi criado. Sem a senha correta, o arquivo não pode ser descriptografado, então o certificado e a chave não podem ser extraídos.
- Qual é a diferença entre o certificado, a cadeia e a chave privada?
- O certificado da folha identifica seu domínio ou identidade, a cadeia de CA são os certificados intermediários que o ligam de volta a uma raiz confiável, e a chave privada é a metade secreta do par de chaves. Servidores web geralmente precisam da folha e da chave, e muitas vezes também da cadeia.
- Ele suporta as extensões .pfx e .p12?
- Sim. Ambas são o mesmo formato PKCS#12 — .pfx é comum no Windows e .p12 em outros lugares. O extrator lê qualquer uma das extensões e qualquer arquivo PKCS#12 válido, independentemente do nome.
Ferramentas relacionadas
- Conversor PPK ↔ PEM — Converta chaves SSH privadas entre PuTTY .ppk e OpenSSH/PEM (RSA e Ed25519), localmente no seu navegador.
- Gerador de chaves SSH — Gere pares de chaves SSH Ed25519, RSA ou ECDSA no seu navegador e baixe-as.
- Verificador de Certificado e Chave — Verifique se um certificado SSL e uma chave privada formam um par, com fingerprints da chave pública.
- Decodificador de JWT — Decodifique o cabeçalho e o payload de um JWT e inspecione exp/iat (sem verificação).
- Gerador de hash — SHA-256 / SHA-1 / SHA-384 / SHA-512 via Web Crypto API.
Todas as ferramentas de ArrayKit