.pfx, .p12, .cer ja .crt erinevuste üksikasjalik selgitus

Kui sa oled siia tulnud otsima Erinevused .pfx, .p12, .cer ja .crt vahelDigitaalse sertifikaadi või SSL-i serverisse installimisel olete ilmselt juba kohanud mitu kummalist faili. Te pole üksi: akronüümide, laienduste ja vormingute vahel on lihtne segadusse sattuda ja mitte teada, mida iga fail teeb või millist teil igal juhul vaja on.

Hea uudis on see, et kuigi nimed võivad tunduda hirmutavad, saab seda kõike üsna lihtsalt seletada, kui mõistame, et kõik need failid pole midagi muud kui sertifikaatide ja võtmete konteinerid erinevates vormingutes (teksti- või binaarvormingus) ja erinevate süsteemide jaoks loodud (Windows, Linux(Java, brauserid jne). Vaatame neid ükshaaval rahulikult ja seostame need omavahel, et te teaksite täpselt, mis iga asi on, milleks see on mõeldud ja kuidas seda vajadusel kasutada või teisendada.

Mis on digitaalne sertifikaat ja kuidas sobivad kokku .pfx, .p12, .cer ja .crt laiendid?

Digitaalne sertifikaat pole midagi muud kui sertifitseerimisasutuse allkirjastatud elektrooniline dokument (CA või vastavalt eIDAS-i määrusele kvalifitseeritud teenusepakkuja), mis seob identiteedi avaliku võtmega. See identiteet võib olla isik, ettevõte, veebiserver, domeen jne.

Selle ühenduse loomiseks kasutatakse järgmist: avaliku võtme või asümmeetrilise krüptograafiaOn olemas võtmepaar: avalik võti (mida igaüks saab teada) ja privaatvõti (mis peaks olema ainult omanikul). Avaliku võtmega krüpteeritut saab dekrüpteerida ainult privaatvõtmega ja vastupidi, mis võimaldab autentimist, krüpteerimist ja elektroonilisi allkirju.

Kõigi nende sertifikaatide taga on avaliku võtme infrastruktuur ehk PKImis hõlmab sertifitseerimisasutust, registreerimisasutusi, sertifikaatide hoidlaid, sertifikaatide tühistamisnimekirju (CRL) ja paljudes keskkondades ajatempliasutust (TSA), et salvestada allkirjastamise aeg.

Enamiku üldotstarbeliste sertifikaatide sisemine struktuur järgib standardit X.509, mille on määratlenud ITU ja üksikasjalikult kirjeldab RFC 5280. See standard määratleb sellised väljad nagu versioon, seerianumber, allkirja algoritm, väljastaja, kehtivusaeg, subjekt, omaniku avalik võti ja võimalikud täiendavad laiendused.

Algoritmide osas kasutavad sertifikaadid tavaliselt asümmeetrilist krüptograafiat koos RSA, DSA või ECDSARSA ja ECDSA on mõeldud nii allkirjastamiseks kui ka krüpteerimiseks, samas kui DSA keskendub digitaalallkirja allkirjastamisele ja kontrollimisele.

Sisemised vormingud ja laiendused: PEM, DER, CER, CRT ja ettevõte

Kui me räägime laiendustest, näiteks .cer, .crt, .pem, .der, .pfx, .p12 või .p7bTegelikkuses segame kahte mõistet: sertifikaadi kodeerimisvormingut (Base64 tekst või binaarfail) ja faili funktsiooni (ainult sertifikaat, sertifikaat + privaatvõti, sertifikaadiahel jne).

Sisemise vormingu tasandil on X.509 sertifikaadid esindatud järgmiselt: ASN.1 ja on tavaliselt kodeeritud DER-iga (binaarne) või selle tekstilise variandiga PEM (DER teisendatakse Base64-ks ja pakitakse päistesse nagu ALGUS/LÕPP). Sealt edasi on erinevad süsteemid ja standardid defineeritud konkreetsed konteinerid näiteks PKCS#7 (.p7b) või PKCS#12 (.pfx, .p12).

Segaduse vältimiseks on oluline meeles pidada, et faililaiend on sageli vaid üks nimetamiskonventsioonNäiteks .cer-fail või .crt-fail võivad sisaldada täpselt sama asja, ainult et ühte kasutatakse rohkem Windowsi ja teist Unixi/Linuxi keskkondades.

Selle üldise grupi sees on mõned võtmevormingud Neid on oluline selgelt mõista, sest just nendega puutute SSL/TLS-i või isiklike sertifikaatidega töötades pidevalt kokku.

PEM-vorming: sertifikaatide „loetav tekst”

PEM-vorming on vaieldamatult kõige levinum SSL/TLS-sertifikaatide puhul serverites nagu Apache või Nginx ja enamikus turvatööriistades. PEM-fail on lihtsalt DER ümberkodeeritud Base64-s ja ümbritsetud tekstipäistegamis võimaldab teil seda avada ja kopeerida mis tahes redaktoriga (Notepad, nano, vim jne).

PEM-i tuntakse ära selle sisu poolest, mis on piiritletud joontega, näiteks —–Alge sertifikaat y —– LÕPPSERTIFIKAAT - kui see sisaldab sertifikaati või —–PRIVAATVÕTI ALGUS—– y —–PRIVAATVÕTI LÕPP—– kui see sisaldab privaatvõtit. Kõik nendevaheline on Base64 string, mis esindab algseid binaarandmeid.

Ühes PEM-failis saab olla ainult sertifikaatEsitada saab sertifikaadi koos vahepealse CA ahelaga, privaatvõtme eraldi või isegi kogu paketi (privaatvõti, serveri sertifikaat, vahepealsed sertifikaadid ja juursertifikaat). Sertifikaatide allkirjastamistaotlused esitatakse ka PEM-is. CSRmis pole midagi muud kui tekstiks ümber kodeeritud PKCS#10 struktuurid.

See vorming defineeriti algselt RFC-des 1421–1424 osana privaatsust parandava elektroonilise posti projektist, mis ei leidnud e-posti jaoks laialdast levikut, kuid jättis maha suurepärase tekstivormingu. krüptograafiliste andmete transport mugavas, loetavas ja kergesti kopeeritavas/kleepitavas vormingus.

Praktikas failid laienditega .pem, .crt, .cer või .key Unixi/Linuxi süsteemides on need tavaliselt PEM-failid. Tavaliselt sisaldab .key privaatvõtit, .crt või .cer serveri sertifikaati ja mõnikord sisaldab täiendav PEM-fail vahepealset CA-ahelat.

DER-vorming: puhas ja lihtne binaarfail

DER (Distinguished Encoding Rules ehk eristatavad kodeerimisreeglid) on binaarse kodeerimise vorming ASN.1 struktuuridest, mis kirjeldavad X.509 sertifikaati. See ei ole tekst, seega kui avate selle redaktoriga, näete tüüpilise Base64 stringi asemel kummalisi märke.

DER-fail võib sisaldada mis tahes tüüpi sertifikaat või privaatvõtiTavaliselt on see tähistatud laiendiga .der või .cer, eriti Windowsi keskkondades või Java platvormidel. Windowsis tuvastatakse .der-fail otse sertifikaadifailina ja see avaneb topeltklõpsamisel natiivse vaaturiga.

PEM-i praktiline erinevus seisneb selles, et kuigi PEM-i saab hõlpsasti kopeerida ja e-postiga saata või veebivormidesse kleepida, on DER... suletud binaarne kämp Mõeldud rakenduste otseseks kasutamiseks. Sisemiselt on teave aga sama: PEM pole midagi muud kui Base64 tekstiks ümberkodeeritud DER.

Tööriistad nagu OpenSSL võimaldavad teil ühe käsuga lülituda DER-ilt PEM-ile ja vastupidi, muutmata sertifikaadi loogilist sisu üldse, ainult selle esitusviisi.

.cer ja .crt laiendid: sama koer erineva kaelarihmaga

Laiendeid .cer ja .crt kasutatakse tähistamiseks avalikke sertifikaate sisaldavad failid, tavaliselt PEM- või DER-vormingus, olenevalt süsteemist, milles need genereeritakse või installitakse.

Juhtudel on Apache serveris olev .crt-fail a PEM-sertifitseeritud ümbritsetud BEGIN/END CERTIFICATE päistega ja valmis konfiguratsiooniplokki kleepimiseks. Windowsis võib .cer-fail olla kas PEM- või DER-vormingus, kuigi tavaliselt kuulub see mõlemasse kategooriasse, olenevalt tööriistast, mis selle genereeris.

Oluline on mõista, et laiend ei määratle rangelt sisemist vormingut: .cer-fail võib olla PEM-tekst või DER-binaarfail ning vaatur või utiliit, näiteks OpenSSL, määrab, kuidas seda lugeda. Brauserites ja Windowsi süsteemides avab topeltklõps... sertifikaatide vaatajakus näete väljaandjat, teemat, kehtivuskuupäevi, võtme kasutamist jne.

Kui ekspordite brauserist või Windowsi sertifikaadisalvestusest sertifikaadi ilma privaatvõtmeta, saate tavaliselt .cer-faili, mida kasutatakse järgmiselt. allkirjade, usaldusahelate valideerimine või teabe krüpteerimineaga mitte kunagi omaniku nimel allkirjastama (selleks on vaja privaatvõtit, mis on eraldi või kaitstud konteineris).

CSR-, KEY-, CA- ja vahefailid: muud sertifikaadiga kaasnevad failid

SSL-sertifikaadi või isikliku sertifikaadi töötlemisel ei näe te ainult .pfx-, .p12- või .cer-faile. Kogu protsess hõlmab ka selliseid faile nagu .csr, .key või CA sertifikaadid (juur ja vaheühendid), mis on kõige toimimiseks võrdselt olulised.

Allkirja taotlus või CSR (.csr) See on fail, mille tavaliselt genereerite serveris, kuhu SSL-sertifikaat installitakse. See sisaldab avalikku võtit, domeeninime, organisatsiooni, riiki ja muud teavet, mida sertifitseerimisasutus sertifikaadi väljastamiseks kasutab. See järgib PKCS#10 standardit ja on tavaliselt PEM-vormingus kodeeritud, nii et saate selle pakkuja vormile kopeerida ja kleepida.

Privaatvõti või VÕTI (.võti) See on fail, kuhu salvestatakse sertifikaadiga seotud salajane võti. See on tavaliselt PEM-vormingus, eraldatud BEGIN PRIVATE KEY ja END PRIVATE KEY vahel. See on äärmiselt tundlik fail, mida ei tohiks jagada ega avalikesse hoidlatesse üles laadida ning paljudel juhtudel on see lisaks parooliga kaitstud.

Toimik CA või volitussertifikaat See sisaldab sertifikaadi väljastanud või vahendava üksuse avalikku võtit. Brauserid ja operatsioonisüsteemide Neil on vaikimisi usaldusväärsete CA-de loend, kuid mõnikord peate usaldusahela lõpuleviimiseks installima vahesertifikaadid, et kliendid saaksid teie serveri sertifikaati vigadeta valideerida.

Neid vahesertifikaate saab esitada PEM-failidena (.pem, .crt, .cer) või konteineris, näiteks .p7bMajutuskonfiguratsioonides on SSL-i korrektseks installimiseks väga tavaline, et küsitakse CRT (domeenisertifikaat), KEY (privaatvõti) ja CA või vahesertifikaadi faile.

PKCS#7 / P7B: sertifikaatide ahel ilma privaatvõtmeta

PKCS#7, tavaliselt esindatud laiendustega .p7b või .p7cSee on vorming, mis on loodud ühe või mitme sertifikaadi grupeerimiseks struktureeritud konteinerisse ilma privaatvõtit lisamata. Seda kasutatakse tavaliselt levitada sertifikaadiahelaid (serveri sertifikaat pluss vahepealsed sertifikaadid) Windowsi või Java keskkondades (Tomcat, võtmehoidla jne).

.p7b-fail kodeeritakse tavaliselt Base64 ASCII-vormingus, sarnaselt PEM-failiga, ja see defineeriti algselt RFC 2315-s avaliku võtme krüptograafia standardite osana. Tänapäeval on selle järeltulija CMS (krüptograafilise sõnumi süntaks), kuid nime PKCS#7 kasutatakse SSL-sertifikaatide maailmas endiselt laialdaselt.

See formaat on väga kasulik, kui vajate paigaldage kogu usaldusahel serveris või süsteemis, mis haldab sertifikaate poe kaudu (näiteks Java võtmehoidla). Tavaliselt edastab SSL-pakkuja ühelt poolt serveri sertifikaadi ja teiselt poolt .p7b-faili koos kogu CA-ahelaga või ühe .p7b-faili, mis sisaldab kõike.

Kui soovite .p7b-faili PEM-vormingusse teisendada, võimaldavad sellised tööriistad nagu OpenSSL teil sertifikaadid ühe käsuga lahti pakkida ja need ühte või mitmesse tekstifaili salvestada. Seejärel saate BEGIN/END CERTIFICATE plokid eraldada, kui peate need eraldi serverisse üles laadima.

Oluline on märkida, et PKCS#7 fail ei sisalda kunagi privaatvõtitSeega pole see iseenesest allkirjastamiseks ega dekrüpteerimiseks kasulik: see pakub usalduse valideerimiseks ainult sertifitseerimisahela avalikku osa.

PKCS#12: Mis täpselt on .pfx ja .p12?

PKCS#12 standard defineerib parooliga kaitstud binaarkonteineri, mis võib sisaldada avalikud sertifikaadid, täielikud CA ahelad ja privaatvõti seotud. Selle vormingu kõige levinumad laiendid on .pfx ja .p12, mis on praktiliselt samaväärsed.

Ajalooliselt sai PKCS#12 alguse Microsoftiga tihedalt seotud formaadina, kuid aeg See standardiseeriti RFC 7292-s ja seda kasutatakse tänapäeval igat tüüpi süsteemides just seetõttu, et see võimaldab sertifikaadi ja privaatvõtmepaari turvaline transportimine ühest meeskonnast teise.

Windowsi maailmas, kui ekspordite kasutaja või masina sertifikaadisalvestusest "privaatvõtme" sertifikaadi, genereerib viisard .pfx-faili (või .p12-faili), mis sisaldab kõike, mida vajate selle teise süsteemi importimiseks: privaatvõtit, sertifikaadi omanikku ja tavaliselt ka vaheahelat.

PKCS#12 faili loomisel või eksportimisel palub süsteem teil määrata paroolikaitseSeda parooli on hiljem vaja faili importimiseks teise brauserisse, IIS-i, e-posti klienti või isegi teise operatsioonisüsteemi. Nii ei saa keegi .pfx-faili varastamise korral seda parooli teadmata kasutada.

Tööriistad nagu OpenSSL võimaldavad teil teisendada .pfx- või .p12-faili PEM-vormingusse, nii et saate tekstifaili, kust saate hõlpsalt leida privaatvõtmeploki, serveri sertifikaadi ja vahesertifikaadid ning kopeerida need vajadusel (näiteks hostimispaneelil, mis aktsepteerib eraldi ainult CRT-d, KEY-d ja CA-d).

.pfx ja .p12 sertifikaatide uuendamine, eksport ja import

Isikusertifikaatide (näiteks FNMT või muude asutuste poolt isiku tuvastamiseks väljastatud sertifikaatide) valdkonnas on nende varundamise ja uuendamise viis tihedalt seotud järgmisega: .pfx- või .p12-failid, mis liiguvad krüptokaartidel, žetoonidel USB või otse arvutis kaitstud failidena.

Kui teie isikutunnistus pole veel aegunud, lubavad paljud asutused Uuenda seda veebisuuendamine on lubatud registreerimispunktist (kutseühing, ettevõte, sertifitseerimisteenuse pakkuja jne) ja saate e-posti teel lingi protsessi oma arvutist lõpuleviimiseks.

Kui aga sertifikaat on juba aegunud, peate tavaliselt isiklikult kohal viibima Mine oma krüptokaardi või -seadmega samasse registreerimispunkti, kus aegunud sertifikaat asub, tuvasta end ja taotle uut väljastust, mille saad uuesti eksportida .pfx- või .p12-vormingus, et importida kuhu iganes vaja.

Sellistes brauserites nagu Edge või ChromeImpordiprotsess läbib Windowsi sertifikaatide poodPrivaatsus- ja turbeseadete alt saate avada sertifikaadihalduri, valida vahekaardi Isiklik ja importida .pfx- või .p12-faili. Viisard küsib konteineri parooli ja pakub võtme märkimist eksporditavaks tulevaste varunduste jaoks.

Kui .pfx-faili asemel on teil privaatvõtmeta .cer-fail (sertifikaadiikoon ilma võtmeta), on see fail kasulik ainult järgmistel eesmärkidel: installige avalik sertifikaat (see kuvatakse jaotises „Teised inimesed“), aga mitte allkirjastamiseks ega autentimiseks. Sellisel juhul ei saa te sealt privaatvõtit kätte ja kui teil pole kehtivat koopiat, on ainus võimalus taotleda uut sertifikaati.

Kuidas neid vorminguid serveri SSL-sertifikaatides kasutatakse

Igapäevases töös veebiserveritega, VPNOlenemata sellest, kas kasutate puhverservereid või Java-rakendusi, sõltuvad kasutatavad erinevad sertifikaadivormingud süsteemist ja installi tüübist. Apache seadistamine Linuxis ei ole sama, mis IIS-i seadistamine Windowsis või Tomcati seadistamine Javas.

Unixi/Linuxi keskkondades (Apache, Nginx, HAProxy jne) on tavaline töötada PEM-failid eraldi failid: üks privaatvõtme jaoks (.key), teine ​​serveri sertifikaadi jaoks (.crt või .cer) ja mõnikord veel üks vahepealse CA stringiga. Kõigile neile viidatakse serveri konfiguratsioonis TLS-i loomiseks.

Windowsi platvormidel (IIS, kaugtöölaua teenused jne) on väga tavaline, et küsitakse .pfx või .p12 mis sisaldab nii sertifikaati kui ka privaatvõtit ja ketti. Impordiviisard hoolitseb iga osa paigutamise eest vastavasse salvestusse, seega ei pea te sisemiste detailide pärast muretsema.

Java keskkondades (Tomcat, rakendused oma võtmehoidlaga) tüüpi salvestusruumid JKS või PKCS#12Paljudel juhtudel imporditakse otse .pfx-fail või kasutatakse võtmehoidla usaldusahela konfigureerimiseks .p7b-sertifikaate, olenevalt tööriistast ja Java versioonist.

SSL-sertifikaadi ostmisel kolmandalt osapoolelt võite saada mitmesuguseid failikombinatsioone: CRT + CA-faili PEM-vormingus, .p7b-faili, mis sisaldab stringi, või isegi eelnevalt ettevalmistatud .pfx-faili. Oluline on tuvastada õige failitüüp. Kus on privaatvõti? (kui see on teiega kaasas ja seda ei genereeri server) ja milline fail sisaldab serveri sertifikaati ja vaheahelat.

Majutusteenuse juhtpaneelidel palutakse teil tavaliselt täita CRT, KEY ja valikuliselt CA või vahesertifikaadi väljad. Kui teil on ainult .pfx-fail, saate selle OpenSSL-i abil PEM-vormingusse teisendada ja sealt iga ploki välja võtta, kopeerides hoolikalt iga tüübi algosast END-ni.

Sertifikaadivormingute vaheline teisendamine OpenSSL-iga

Kui olete aru saanud, mis iga fail on, on järgmine loogiline samm teada saada kuidas neid teisendada Kui server või rakendus taotleb teie internetiteenuse pakkuja või sertifitseerimisasutuse pakutavast erinevat vormingut, on selleks standardne tööriist OpenSSL, mis on saadaval enamikus Linuxi distributsioonides ja mida saab installida ka Windowsi.

Näiteks kui teil on sertifikaat DER (.der, .cer) Ja kui teil on vaja see PEM-iks teisendada, piisab ühest käsust, mis võtab selle binaarfaili ja kodeerib selle uuesti Base64-ks koos sobivate päistega. Samamoodi saate PEM-faili DER-iks teisendada, kui teie süsteem aktsepteerib ainult binaarfaile.

PKCS#7 (.p7b) failiga saate OpenSSL-i abil väljavõtte sertifikaadid PEM-vormingus lihtsa käsuga, mis prindib sisalduvad sertifikaadid ja salvestab need tekstifaili. Sealt saate eraldada erinevad BEGIN/END CERTIFICATE plokid, kui vajate eraldi faile.

PKCS#12 (.pfx, .p12) puhul võimaldab OpenSSL teil konteineri teisendada PEM-failiks, mis sisaldab privaatvõtit ja kõiki sertifikaate. Protsessi käigus küsitakse teilt konteineri parooli ja saate valida, kas jätta privaatvõti krüpteerituks või lihttekstina PEM-faili sees, olenevalt selle kavandatud kasutusest.

Sellised teisendustüübid võimaldavad selliseid stsenaariume nagu .pfx-faili üleslaadimine Linuxi serverisse, selle PEM-vormingusse teisendamine ja seejärel eraldi CRT ja KEY SSL-i installivormi täitmiseks, mis ei toeta otseselt PKCS#12 konteinereid.

Lisaks otsestele DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 ja PKCS#12↔PEM teisendustele saab sama utiliit genereerida CSR-e, hallata võtmeid, kontrollida sertifikaate ja kontrollida aegumiskuupäevi, muutes selle põhitööriistaks igas keskkonnas, mis töötab sertifikaatidega.

Digitaalsete sertifikaatide tüübid ja kasutusvaldkonnad

Lisaks failivormingule on kasulik selgelt aru saada ka sellest, sertifikaatide tüübid olenevalt nende kasutusest või esindatava üksuse tüübist, kuna see mõjutab nende varukoopiate, uuenduste ja installide haldamist.

Euroopa regulatiivsel tasandil (eIDAS-määrus) tehakse vahet järgmiste vahel: "Lihtsad" elektroonilised sertifikaadid ja kvalifitseeritud sertifikaadidEsimesed vastavad põhilistele identifitseerimis- ja väljastamisnõuetele, samas kui viimased nõuavad teenusepakkujalt rangemaid isikusamasuse kontrollimise protsesse ning rangemaid tehnilisi ja organisatsioonilisi tingimusi. Selge näide Hispaaniast on elektrooniline isikutunnistus (DNIe).

Kui vaatame, kes on omanik, siis võime saada sertifikaate füüsiline isik, juriidiline isik või juriidilise isiku staatuseta üksusIgaüht neist kasutatakse allkirjastamiseks või autentimiseks erinevates valdkondades: vastavalt isiklikes protseduurides, ettevõtte nimel tehingutes või maksukohustuste täitmisel.

Veebiserverite maailmas on tuntuim sertifikaatide perekond SSL/TLS sertifikaadidNeed sertifikaadid installitakse serveritesse kasutajatega suhtlemise kanali krüpteerimiseks. Nende hulka kuuluvad variandid, näiteks ühe domeeni, metamärgi ja mitme domeeni (SAN) sertifikaadid, mis erinevad hõlmatud nimede arvu ja valideerimistaseme poolest.

Olenemata tüübist saab kõiki neid sertifikaate salvestada ja levitada samades vormingutes: .cer, .crt, .pem, .p7b failidena või .pfx/.p12 konteineritena, olenevalt süsteemist, kus neid kasutatakse, ja valitud transpordi- või varundusmeetodist.

Digitaalsete sertifikaatide kasulikkus on tohutu: Nad tagavad konfidentsiaalsuse ja autentsuse kommunikatsiooni valdkonnas võimaldavad need juriidiliselt kehtivaid elektroonilisi allkirju, lihtsustavad haldus- ja äriprotseduure ning võimaldavad mitmetel võrguteenustel turvaliselt toimida ilma, et kasutaja peaks krüptograafiliste üksikasjade pärast muretsema.

Siinkohal on selge, et laiendid nagu .pfx, .p12, .cer või .crt on lihtsalt sama asja erinevad pakendamise viisid: X.509 sertifikaat, privaatvõti ja vajadusel usaldusahel, mis olenevalt keskkonnast esitatakse installimise ja juurutamise hõlbustamiseks Base64 teksti, DER-binaarse või PKCS-konteinerina. süsteemidevaheline transport.