Die Unterschiede zwischen .pfx, .p12, .cer und .crt werden detailliert erklärt.

Wenn Sie hierher gekommen sind, um nach dem/der/dem Unterschiede zwischen .pfx, .p12, .cer und .crtSie sind beim Installieren eines digitalen Zertifikats oder SSL-Zertifikats auf einem Server wahrscheinlich schon auf die eine oder andere ungewöhnliche Datei gestoßen. Damit sind Sie nicht allein: Zwischen Akronymen, Dateiendungen und Formaten kann man leicht den Überblick verlieren und nicht mehr wissen, wofür die einzelnen Dateien da sind oder welche man im jeweiligen Fall benötigt.

Die gute Nachricht ist, dass, obwohl die Namen einschüchternd wirken mögen, all dies ganz einfach erklärt werden kann, wenn wir verstehen, dass all diese Dateien nichts anderes sind als Zertifikats- und Schlüsselcontainer in verschiedenen Formaten (Text oder Binär) und für verschiedene Systeme konzipiert (Windows, Linux(Java, Browser usw.). Wir werden sie uns nacheinander in Ruhe ansehen und die Zusammenhänge erklären, damit Sie genau wissen, was jedes einzelne ist, wozu es dient und wie man es gegebenenfalls verwendet oder konvertiert.

Was ist ein digitales Zertifikat und wie hängen die Dateiformate .pfx, .p12, .cer und .crt zusammen?

Ein digitales Zertifikat ist nichts anderes als ein elektronisches Dokument, unterzeichnet von einer Zertifizierungsstelle (Eine Zertifizierungsstelle oder, gemäß der eIDAS-Verordnung, ein qualifizierter Dienstanbieter), die eine Identität mit einem öffentlichen Schlüssel verknüpft. Diese Identität kann eine Person, ein Unternehmen, ein Webserver, eine Domain usw. sein.

Um diese Verbindung herzustellen, wird Folgendes verwendet: Public-Key- oder asymmetrische KryptographieEs gibt ein Schlüsselpaar: einen öffentlichen Schlüssel (den jeder kennen kann) und einen privaten Schlüssel (den nur der Besitzer haben sollte). Was mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem privaten Schlüssel entschlüsselt werden und umgekehrt. Dies ermöglicht Authentifizierung, Verschlüsselung und elektronische Signaturen.

Hinter all diesen Zertifikaten steckt ein Public-Key-Infrastruktur oder PKIDazu gehören die Zertifizierungsstelle, Registrierungsstellen, Zertifikatsspeicher, Zertifikatssperrlisten (CRLs) und in vielen Umgebungen eine Zeitstempelstelle (TSA), die aufzeichnet, wann etwas signiert wurde.

Die interne Struktur der überwiegenden Mehrheit der allgemeinen Zertifikate folgt dem Standard X.509, definiert von der ITU und detailliert beschrieben in RFC 5280. Dieser Standard definiert Felder wie Version, Seriennummer, Signaturalgorithmus, Aussteller, Gültigkeitszeitraum, Subjekt, öffentlicher Schlüssel des Inhabers und mögliche zusätzliche Erweiterungen.

Was die Algorithmen betrifft, so verwenden Zertifikate typischerweise asymmetrische Kryptographie mit RSA, DSA oder ECDSARSA und ECDSA dienen sowohl der Signierung als auch der Verschlüsselung, während sich DSA auf die digitale Signatur und Verifizierung konzentriert.

Interne Formate und Erweiterungen: PEM, DER, CER, CRT und Company

Wenn wir über Erweiterungen sprechen wie .cer, .crt, .pem, .der, .pfx, .p12 oder .p7bIn Wirklichkeit vermischen wir zwei Konzepte: das Kodierungsformat des Zertifikats (Base64-Text oder Binär) und die Funktion der Datei (nur Zertifikat, Zertifikat + privater Schlüssel, Zertifikatskette usw.).

Auf der internen Formatebene werden X.509-Zertifikate wie folgt dargestellt: ASN.1 und werden normalerweise mit DER (binär) oder seiner textuellen Variante PEM (DER, konvertiert in Base64 und mit Headern wie … versehen) kodiert. ANFANG/ENDEVon dort aus wurden verschiedene Systeme und Standards definiert bestimmte Behälter wie z. B. PKCS#7 (.p7b) oder PKCS#12 (.pfx, .p12).

Der Schlüssel zur Vermeidung von Verwirrung liegt darin, sich zu merken, dass die Dateiendung oft nur ein Bestandteil ist. NamenskonventionEine .cer-Datei oder eine .crt-Datei kann genau dasselbe enthalten; nur wird die eine häufiger unter Windows und die andere eher in Unix/Linux-Umgebungen verwendet, um nur ein Beispiel zu nennen.

Innerhalb dieser allgemeinen Gruppe gibt es einige Schlüsselformate Es ist wichtig, diese genau zu verstehen, da sie Ihnen bei der Arbeit mit SSL/TLS- oder persönlichen Zertifikaten ständig begegnen werden.

PEM-Format: der „lesbare Text“ von Zertifikaten

Das PEM-Format ist mit Abstand das gebräuchlichste Format für SSL/TLS-Zertifikate auf Servern wie Apache oder Nginx und in den meisten Sicherheitstools. Eine PEM-Datei ist einfach eine DER-kodiert in Base64 und von Textkopfzeilen umgebenDadurch können Sie die Datei mit jedem beliebigen Editor öffnen und kopieren (Notepad, nano, vim usw.).

Eine PEM-Datei wird erkannt, weil ihr Inhalt durch Linien wie diese begrenzt ist. —–BEGINN ZERTIFIKAT—– y —–ENDE ZERTIFIKAT—– wenn es ein Zertifikat enthält, oder —–BEGINN DES PRIVATEN SCHLÜSSELS—– y —–ENDE DES PRIVATEN SCHLÜSSELS—– wenn es einen privaten Schlüssel enthält. Alles dazwischen ist eine Base64-Zeichenkette, die die ursprünglichen Binärdaten darstellt.

In einer einzigen PEM-Datei können Sie Folgendes haben nur das ZertifikatEs können das Zertifikat und die Zwischenzertifizierungsstellenkette, der private Schlüssel separat oder auch das gesamte Paket (privater Schlüssel, Serverzertifikat, Zwischenzertifikate und Stammzertifikat) bereitgestellt werden. Zertifikatsignierungsanforderungen werden ebenfalls im PEM-Format bereitgestellt. CSREs handelt sich dabei lediglich um in Text umkodierte PKCS#10-Strukturen.

Dieses Format wurde ursprünglich in den RFCs 1421-1424 im Rahmen des Projekts „Privacy-enhanced Electronic Mail“ definiert, das sich für E-Mails nicht durchsetzte, aber ein hervorragendes Textformat hinterließ. Transport kryptografischer Daten in einem komfortablen, gut lesbaren und einfach zu kopierenden/einzufügenden Format.

In der Praxis werden Dateien mit Erweiterungen .pem, .crt, .cer oder .key In Unix/Linux-Systemen handelt es sich dabei üblicherweise um PEM-Dateien. Typischerweise enthält die .key-Datei den privaten Schlüssel, die .crt- oder .cer-Datei das Serverzertifikat und manchmal eine zusätzliche PEM-Datei die Zwischenzertifizierungsstellenkette.

DER-Format: das reine und einfache Binärformat

DER (Distinguished Encoding Rules) ist die Binärkodierungsformat Es handelt sich um die ASN.1-Strukturen, die ein X.509-Zertifikat beschreiben. Da es sich nicht um Text handelt, werden beim Öffnen mit einem Editor anstelle der üblichen Base64-Zeichenkette seltsame Zeichen angezeigt.

Eine DER-Datei kann Folgendes enthalten jede Art von Zertifikat oder privatem SchlüsselSie werden typischerweise an den Dateiendungen .der oder .cer erkannt, insbesondere unter Windows oder auf Java-Plattformen. Unter Windows wird eine .der-Datei direkt als Zertifikatsdatei erkannt und beim Doppelklicken mit dem systemeigenen Zertifikatsbetrachter geöffnet.

Der praktische Unterschied zu PEM besteht darin, dass PEM zwar leicht kopiert und per E-Mail versendet oder in Webformulare eingefügt werden kann, DER jedoch ein geschlossener Binär-Blob Konzipiert für die direkte Verwendung durch Anwendungen. Intern bleiben die Informationen jedoch gleich: Eine PEM-Datei ist nichts anderes als eine DER-Datei, die in Base64-Text neu kodiert wurde.

Tools wie OpenSSL ermöglichen es, mit einem einzigen Befehl zwischen DER und PEM zu wechseln, ohne den logischen Inhalt des Zertifikats zu verändern, sondern nur dessen Darstellungsform.

.cer- und .crt-Dateiendungen: Derselbe Hund mit einem anderen Halsband

Die Dateiendungen .cer und .crt werden verwendet, um … zu kennzeichnen Dateien, die öffentliche Zertifikate enthalten, üblicherweise im PEM- oder DER-Format, je nachdem, in welchem ​​System sie erzeugt oder installiert werden.

In manchen Fällen wird eine .crt-Datei auf einem Apache-Server eine zertifiziert in PEM Die Datei ist von den BEGIN/END CERTIFICATE-Headern umgeben und kann direkt in einen Konfigurationsblock eingefügt werden. Unter Windows kann eine .cer-Datei entweder im PEM- oder im DER-Format vorliegen, wobei die Zuordnung zu einer der beiden Kategorien üblicherweise vom verwendeten Erstellungsprogramm abhängt.

Wichtig ist zu verstehen, dass die Dateiendung das interne Format nicht genau festlegt: Eine .cer-Datei kann sowohl PEM-Text als auch DER-Binärdaten enthalten, und ein Anzeigeprogramm oder ein Hilfsprogramm wie OpenSSL bestimmt, wie sie gelesen wird. In Browsern und Windows-Systemen öffnet ein Doppelklick die Datei. ZertifikatsanzeigeDort können Sie Aussteller, Betreff, Gültigkeitsdaten, Schlüsselverwendung usw. einsehen.

Wenn Sie ein Zertifikat ohne privaten Schlüssel aus einem Browser oder dem Windows-Zertifikatspeicher exportieren, erhalten Sie normalerweise eine .cer-Datei, die für Folgendes verwendet wird: Signaturen validieren, Vertrauensketten prüfen oder Informationen verschlüsselnaber niemals im Namen des Eigentümers unterschreiben (dazu benötigen Sie den privaten Schlüssel, der separat oder in einem geschützten Container aufbewahrt wird).

CSR-, KEY-, CA- und Zwischendateien: die übrigen Dateien, die dem Zertifikat beiliegen.

Bei der Verarbeitung eines SSL-Zertifikats oder eines persönlichen Zertifikats werden Sie nicht nur .pfx-, .p12- oder .cer-Dateien sehen. Der gesamte Prozess umfasst auch Dateien wie … .csr-, .key- oder CA-Zertifikate (Wurzel und Zwischenprodukte), die gleichermaßen wichtig sind, damit alles funktioniert.

Die Aufforderung zur Unterschrift oder CSR (.csr) Es handelt sich um eine Datei, die üblicherweise auf dem Server erstellt wird, auf dem das SSL-Zertifikat installiert wird. Sie enthält den öffentlichen Schlüssel, den Domainnamen, die Organisation, das Land und weitere Informationen, die die Zertifizierungsstelle zur Ausstellung des Zertifikats benötigt. Sie entspricht dem PKCS#10-Standard und ist in der Regel im PEM-Format kodiert, sodass sie in das Formular des Anbieters kopiert werden kann.

Der private Schlüssel oder KEY (.key) Dies ist die Datei, in der der zum Zertifikat gehörende geheime Schlüssel gespeichert ist. Sie liegt üblicherweise im PEM-Format vor und ist durch „BEGIN PRIVATE KEY“ und „END PRIVATE KEY“ begrenzt. Es handelt sich um eine äußerst sensible Datei, die nicht weitergegeben oder in öffentliche Repositories hochgeladen werden darf und in vielen Fällen zusätzlich passwortgeschützt ist.

Die Datei von CA oder Zulassungsbescheinigung Es enthält den öffentlichen Schlüssel der Entität, die das Zertifikat ausstellt oder vermittelt. Browser und OS Sie werden mit einer Standardliste vertrauenswürdiger Zertifizierungsstellen geliefert, aber manchmal müssen Sie Zwischenzertifikate installieren, um die Vertrauenskette zu vervollständigen, damit Clients das Zertifikat Ihres Servers fehlerfrei überprüfen können.

Diese Zwischenzertifikate können als PEM-Dateien (.pem, .crt, .cer) oder in einem Container wie z. B. bereitgestellt werden. .p7bBei Hosting-Konfigurationen ist es sehr üblich, dass zur ordnungsgemäßen Installation von SSL die CRT-Datei (Domain-Zertifikat), der KEY-Schlüssel (privater Schlüssel) und die CA- oder Zwischenzertifikatsdateien angefordert werden.

PKCS#7 / P7B: Zertifikatskette ohne privaten Schlüssel

PKCS#7, üblicherweise dargestellt durch Erweiterungen .p7b oder .p7cEs handelt sich um ein Format, das dazu dient, ein oder mehrere Zertifikate in einem strukturierten Container zusammenzufassen, ohne den privaten Schlüssel einzuschließen. Es wird häufig verwendet für Zertifikatsketten verteilen (Serverzertifikat plus Zwischenzertifikate) in Windows- oder Java-Umgebungen (Tomcat, Keystore usw.).

Eine .p7b-Datei ist typischerweise in Base64-ASCII kodiert, ähnlich einer PEM-Datei, und wurde ursprünglich in RFC 2315 als Teil der Standards für Public-Key-Kryptographie definiert. Heute ist ihr Nachfolger CMS (Cryptographic Message Syntax), aber die Bezeichnung PKCS#7 ist in der Welt der SSL-Zertifikate weiterhin weit verbreitet.

Dieses Format ist sehr nützlich, wenn Sie benötigen Installieren Sie die gesamte Vertrauenskette. auf einem Server oder in einem System, das Zertifikate über einen Speicher verwaltet (z. B. den Java-Keystore). Typischerweise liefert ein SSL-Anbieter einerseits das Serverzertifikat und andererseits eine .p7b-Datei mit der gesamten CA-Kette oder eine einzelne .p7b-Datei, die alles enthält.

Wenn Sie eine .p7b-Datei in PEM konvertieren möchten, können Sie mit Tools wie OpenSSL die Zertifikate mit einem einzigen Befehl extrahieren und in einer oder mehreren Textdateien speichern. Anschließend können Sie die BEGIN/END CERTIFICATE-Blöcke trennen, falls Sie diese separat auf Ihren Server hochladen müssen.

Es ist wichtig zu beachten, dass eine PKCS#7-Datei Enthält niemals den privaten SchlüsselDaher ist es allein weder zum Signieren noch zum Entschlüsseln geeignet: Es stellt lediglich den öffentlichen Teil der Zertifikatskette zur Verfügung, um das Vertrauen zu bestätigen.

PKCS#12: Was genau sind .pfx und .p12?

Der PKCS#12-Standard definiert einen passwortgeschützten Binärcontainer, der Folgendes umfassen kann: öffentliche Zertifikate, vollständige CA-Ketten und der private Schlüssel Die gebräuchlichsten Dateiendungen für dieses Format sind .pfx und .p12, die praktisch gleichwertig sind.

Historisch gesehen begann PKCS#12 als ein Format, das eng mit Microsoft verbunden war, aber mit die zeit Es wurde in RFC 7292 standardisiert und wird heute in allen Arten von Systemen verwendet, gerade weil es Folgendes ermöglicht Sicherer Transport des Zertifikats + privaten Schlüsselpaares von einem Team zum anderen.

In der Windows-Welt wird beim Exportieren eines Zertifikats mit privatem Schlüssel aus dem Benutzer- oder Computerzertifikatspeicher vom Assistenten eine .pfx-Datei (oder .p12-Datei) generiert, die alles enthält, was zum Importieren in ein anderes System benötigt wird: privater Schlüssel, Zertifikatsinhaber und in der Regel die Zwischenzertifikatskette.

Beim Erstellen oder Exportieren einer PKCS#12-Datei werden Sie vom System aufgefordert, Folgendes anzugeben: PasswortschutzDieses Passwort wird später benötigt, um die Datei in einen anderen Browser, IIS, ein E-Mail-Programm oder sogar ein anderes Betriebssystem zu importieren. So kann jemand, der die .pfx-Datei stiehlt, sie nicht ohne dieses Passwort verwenden.

Tools wie OpenSSL ermöglichen es Ihnen, eine .pfx- oder .p12-Datei in PEM zu konvertieren, sodass Sie eine Textdatei erhalten, in der Sie den privaten Schlüsselblock, das Serverzertifikat und die Zwischenzertifikate leicht finden und an der entsprechenden Stelle kopieren können (zum Beispiel in einem Hosting-Panel, das nur CRT, KEY und CA separat akzeptiert).

Erneuerung, Export und Import von .pfx- und .p12-Zertifikaten

Im Bereich der persönlichen Bescheinigungen (beispielsweise solcher, die vom FNMT oder anderen Behörden zu Identifikationszwecken ausgestellt werden) ist die Art und Weise, wie diese gesichert und erneuert werden, eng mit der Verwendung von … verbunden. .pfx- oder .p12-Dateien, die auf kryptografischen Karten, Token, reisen USB oder direkt als geschützte Dateien auf dem Computer.

Wenn Ihr persönliches Zertifikat noch nicht abgelaufen ist, erlauben viele Behörden dies. Online verlängernDie Verlängerung ist ab der Registrierungsstelle (Berufsverband, Unternehmen, Zertifizierungsdienstleister usw.) möglich. Sie erhalten per E-Mail einen Link, über den Sie den Vorgang von Ihrem eigenen Computer aus abschließen können.

Wenn das Zertifikat jedoch bereits abgelaufen ist, müssen Sie normalerweise persönlich teilnehmen Begeben Sie sich mit Ihrer Kryptokarte oder Ihrem Gerät, auf dem das abgelaufene Zertifikat gespeichert ist, zu derselben Registrierungsstelle, identifizieren Sie sich und beantragen Sie die Ausstellung eines neuen Zertifikats, das Sie anschließend im .pfx- oder .p12-Format exportieren und überall dort importieren können, wo Sie es benötigen.

In Browsern wie Edge oder ChromeDer Importprozess durchläuft die Windows-ZertifikatspeicherIn den Datenschutz- und Sicherheitseinstellungen können Sie den Zertifikatsmanager öffnen, den Tab „Persönlich“ auswählen und eine .pfx- oder .p12-Datei importieren. Der Assistent fragt nach dem Containerpasswort und bietet an, den Schlüssel für zukünftige Backups als exportierbar zu markieren.

Wenn Sie anstelle einer .pfx-Datei eine .cer-Datei ohne privaten Schlüssel haben (Zertifikatsymbol ohne Schlüssel), ist diese Datei nur für Folgendes nützlich: Installieren Sie das öffentliche Zertifikat (Es erscheint unter „Andere Personen“), jedoch nicht zum Signieren oder Authentifizierung. In diesem Fall können Sie den privaten Schlüssel dort nicht abrufen, und wenn Sie keine andere gültige Kopie besitzen, bleibt Ihnen nur die Möglichkeit, ein neues Zertifikat anzufordern.

Wie diese Formate in Server-SSL-Zertifikaten verwendet werden

Im täglichen Umgang mit Webservern, VPNUnabhängig davon, ob Proxys oder Java-Anwendungen verwendet werden, hängen die verwendeten Zertifikatsformate vom System und der Installationsart ab. Die Einrichtung von Apache unter Linux unterscheidet sich von der Einrichtung von IIS unter Windows oder Tomcat unter Java.

In Unix/Linux-Umgebungen (Apache, Nginx, HAProxy usw.) ist es normal, mit PEM-Dateien Es werden separate Dateien verwendet: eine für den privaten Schlüssel (.key), eine weitere für das Serverzertifikat (.crt oder .cer) und gegebenenfalls noch eine dritte mit der Zeichenkette der Zwischenzertifizierungsstelle. Alle diese Dateien werden in der Serverkonfiguration referenziert, um TLS einzurichten.

Auf Windows-Plattformen (IIS, Remotedesktopdienste usw.) ist es sehr üblich, nach einem/einer .pfx oder .p12 Die Datei enthält sowohl das Zertifikat als auch den privaten Schlüssel und die Zertifikatskette. Der Importassistent sorgt dafür, dass jedes Element im entsprechenden Speicher abgelegt wird, sodass Sie sich keine Gedanken um die internen Details machen müssen.

In Java-Umgebungen (Tomcat, Anwendungen mit eigenem Keystore) gibt es Speicher vom Typ JKS oder PKCS#12In vielen Fällen wird eine .pfx-Datei direkt importiert, oder es werden .p7b-Zertifikate verwendet, um die Vertrauenskette innerhalb eines Keystores zu konfigurieren, abhängig vom verwendeten Tool und der Java-Version.

Beim Kauf eines SSL-Zertifikats von einem Drittanbieter erhalten Sie möglicherweise verschiedene Dateikombinationen: eine CRT- und eine CA-Datei im PEM-Format, eine .p7b-Datei mit der entsprechenden Zeichenkette oder sogar eine vorbereitete .pfx-Datei. Wichtig ist, den richtigen Dateityp zu identifizieren. Wo befindet sich der private Schlüssel? (falls es von Ihnen mitgebracht wird und nicht vom Server generiert wurde) und welche Datei das Serverzertifikat und die Zwischenzertifikatskette enthält.

In Hosting-Control-Panels werden Sie üblicherweise aufgefordert, Felder für CRT, KEY und optional das CA- oder Zwischenzertifikat auszufüllen. Falls Sie nur eine .pfx-Datei besitzen, können Sie diese mit OpenSSL in das PEM-Format konvertieren und anschließend die einzelnen Blöcke extrahieren, indem Sie diese sorgfältig vom Anfang bis zum Ende jedes Blocktyps kopieren.

Konvertierung zwischen Zertifikatsformaten mit OpenSSL

Sobald Sie verstanden haben, was die einzelnen Dateien sind, ist der nächste logische Schritt, zu wissen wie man sie umwandelt Wenn der Server oder die Anwendung ein anderes Format als das von Ihrem Internetdienstanbieter oder Ihrer Zertifizierungsstelle bereitgestellte anfordert, ist das Standardwerkzeug hierfür OpenSSL, das in den meisten Linux-Distributionen verfügbar und auch unter Windows installierbar ist.

Wenn Sie beispielsweise ein Zertifikat besitzen in DER (.der, .cer) Und falls Sie es in PEM konvertieren müssen, genügt ein einzelner Befehl, der die Binärdatei in Base64 mit den entsprechenden Headern umwandelt. Ebenso können Sie eine PEM-Datei in DER konvertieren, falls Ihr System nur Binärdateien akzeptiert.

Mit einer PKCS#7-Datei (.p7b) können Sie OpenSSL verwenden, um Zertifikate extrahieren Im PEM-Format mit einem einfachen Befehl, der die enthaltenen Zertifikate ausgibt und in einer Textdatei speichert. Anschließend können Sie die verschiedenen BEGIN/END CERTIFICATE-Blöcke trennen, falls Sie einzelne Dateien benötigen.

Bei PKCS#12 (.pfx, .p12) ermöglicht OpenSSL die Konvertierung des Containers in eine PEM-Datei, die den privaten Schlüssel und alle Zertifikate enthält. Während des Vorgangs werden Sie nach dem Containerpasswort gefragt und können je nach Verwendungszweck wählen, ob der private Schlüssel verschlüsselt oder im Klartext in der PEM-Datei gespeichert werden soll.

Diese Art von Konvertierungen ermöglicht Szenarien wie das Hochladen einer .pfx-Datei auf einen Linux-Server, deren Konvertierung in das PEM-Format und anschließende separate CRT und KEY ein SSL-Installationsformular auszufüllen, das PKCS#12-Container nicht direkt unterstützt.

Zusätzlich zu den direkten Konvertierungen DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 und PKCS#12↔PEM kann dasselbe Dienstprogramm CSRs generieren, Schlüssel verwalten, Zertifikate prüfen und Ablaufdaten kontrollieren, was es zu einem unverzichtbaren Werkzeug in jeder Umgebung macht, die mit Zertifikaten arbeitet.

Arten von digitalen Zertifikaten und Anwendungsbereiche

Abgesehen vom Dateiformat ist es auch hilfreich, sich über Folgendes im Klaren zu sein: Arten von Zertifikaten abhängig von ihrem Verwendungszweck oder der Art der Organisation, die sie vertreten, da dies Einfluss darauf hat, wie ihre Backups, Verlängerungen und Installationen verwaltet werden.

Auf europäischer Regulierungsebene (eIDAS-Verordnung) wird unterschieden zwischen "Einfache" elektronische Zertifikate und qualifizierte ZertifikateErstere erfüllen die grundlegenden Anforderungen an Identifizierung und Ausstellung, während letztere strengere Identitätsprüfungsverfahren und anspruchsvollere technische und organisatorische Bedingungen seitens des Anbieters erfordern. Ein anschauliches Beispiel hierfür ist in Spanien der elektronische Personalausweis (DNIe).

Wenn wir uns ansehen, wer der Inhaber ist, können wir Zertifikate erhalten von natürliche Person, juristische Person oder juristische Person ohne RechtspersönlichkeitJedes dieser Dokumente dient der Unterzeichnung oder Authentifizierung in unterschiedlichen Bereichen: persönlichen Angelegenheiten, Geschäftsvorgängen im Namen eines Unternehmens bzw. steuerlichen Verpflichtungen.

In der Welt der Webserver ist die bekannteste Zertifikatsfamilie diejenige von SSL/TLS-ZertifikateDiese Zertifikate werden auf Servern installiert, um den Kommunikationskanal mit den Benutzern zu verschlüsseln. Es gibt verschiedene Varianten wie Single-Domain-, Wildcard- und Multi-Domain-Zertifikate (SAN), die sich in der Anzahl der abgedeckten Namen und ihrem Validierungsgrad unterscheiden.

Unabhängig vom Typ können all diese Zertifikate letztendlich in den gleichen Formaten gespeichert und verteilt werden: .cer-, .crt-, .pem-, .p7b-Dateien oder .pfx/.p12-Container, abhängig vom System, auf dem sie verwendet werden, und der gewählten Methode zum Transportieren oder Sichern.

Der Nutzen digitaler Zertifikate ist enorm: Sie gewährleisten Vertraulichkeit und Authentizität. Im Bereich der Kommunikation ermöglichen sie rechtsgültige elektronische Signaturen, vereinfachen administrative und kommerzielle Abläufe und sorgen dafür, dass mehrere Netzwerkdienste sicher funktionieren, ohne dass sich der Benutzer um kryptografische Details kümmern muss.

An dieser Stelle ist klar, dass Erweiterungen wie .pfx, .p12, .cer oder .crt lediglich unterschiedliche Arten sind, ein und dasselbe zu verpacken: ein X.509-Zertifikat, einen privaten Schlüssel und gegebenenfalls eine Vertrauenskette, die je nach Umgebung als Base64-Text, DER-Binärdatei oder PKCS-Container dargestellt werden, um die Installation und Bereitstellung zu erleichtern. Transport zwischen Systemen.