Como carregar um certificado SSL no IIS, sem ficheiro .pfx (apenas com um ficheiro .cer, .crt ou .pem)

Apesar de ser possível adquirir certificados SSL por períodos superiores a 1 ano, (para reduzir o seu custo anual), o Certification Authority Browser Forum (CA/B Forum) obriga à sua re-emissão e reinstalação a cada 365 dias, (esse período será ainda menor, a partir de 15/03/2026).

Aquando dessa re-emissão anual, e após validada a propriedade do domínio correspondente, algumas entidades certificadoras fornecem apenas um novo certificado no formato PEM (Privacy Enhanced Mail), um texto ASCII codificado em Base64, geralmente num ficheiro com extensão .cer, .crt ou .pem.

Ora, o IIS (Internet Information Services) do Windows espera receber um ficheiro com extensão .pfx, no format PFX (Personal Information Exchange), que inclui, para além do novo certificado, a chave privada correspondente.

Nestes casos, para carregar no IIS um certificado SSL no formato PEM, deve ser usado o procedimento seguinte:

1. Abrir o Gestor de Serviços de Informação Internet (IIS) e aceder a "Certificados de Servidor":

2. Clicar com o botão direito do rato no certificado SSL actual em produção, que será substituído pelo novo certificado emitido pela entidade certificadora, e seleccionar "Concluir Requisição de Certificado...":

3. Indicar a localização do novo certificado no formato PEM, indicar um nome amigável para o novo certificado, indicar o arquivo de certificados onde será guardado, (tipicamente "Alojamento na Web", nos servidores WWW), e clicar em OK:

4. O novo certificado SSL será guardado no arquivo indicado:

5. No entanto, em alguns casos o IIS não associa ao novo certificado a chave privada que permite desbloqueá-lo, (confirmei este comportamento em servidores Windows Server 2016 Standard).

"O certificado desaparece do IIS", conforme indicam alguns administradores de sistemas, na Internet.

Este problema pode ser confirmado executando o comando "certutil -store ARQUIVO" numa linha de comandos, com permissões de administração, em que ARQUIVO é o arquivo de certificados SSL onde foi guardado o novo certificado. Os arquivos disponíveis podem ser enumerados com o comando "certutil -enumstore"):

6. A correcta associação da chave privada ao novo certificado resolve-se com o comando "certutil -repairstore ARQUIVO NUMSERIE", em que ARQUIVO é o arquivo onde está guardado o certificado com problemas, e NUMSERIE indica o número de série desse certificado, indicado no comando anterior:

7. Agora podemos clicar com o botão direito em cada um dos websites a proteger com esse certificado, e escolher "Editar Enlaces...":

8. Finalmente, podemos remover o certificado antigo, nos "Certificados de Servidor".