Perbedaan antara .pfx, .p12, .cer, dan .crt dijelaskan secara detail.

Jika Anda datang ke sini untuk mencari Perbedaan antara .pfx, .p12, .cer dan .crtAnda mungkin sudah pernah menemukan lebih dari satu file aneh saat menginstal sertifikat digital atau SSL di server. Anda tidak sendirian: di antara akronim, ekstensi, dan format, mudah untuk bingung dan tidak tahu apa fungsi setiap file atau file mana yang Anda butuhkan dalam setiap kasus.

Kabar baiknya adalah, meskipun nama-nama tersebut mungkin tampak menakutkan, semua ini dapat dijelaskan dengan cukup sederhana jika kita memahami bahwa semua file ini tidak lebih dari... wadah sertifikat dan kunci dalam berbagai format (teks atau biner) dan dirancang untuk sistem yang berbeda (Windows, Linux(Java, browser, dll.). Kita akan membahasnya satu per satu dengan tenang, dan menghubungkannya satu sama lain sehingga Anda tahu persis apa masing-masing hal itu, untuk apa fungsinya, dan bagaimana cara menggunakannya atau mengonversinya jika diperlukan.

Apa itu sertifikat digital dan bagaimana ekstensi .pfx, .p12, .cer, dan .crt saling berkaitan?

Sertifikat digital tidak lebih dari sekadar... dokumen elektronik yang ditandatangani oleh Otoritas Sertifikasi (CA atau, menurut peraturan eIDAS, Penyedia Layanan Berkualifikasi) yang menghubungkan identitas dengan kunci publik. Identitas tersebut dapat berupa orang, perusahaan, server web, domain, dan lain sebagainya.

Untuk mencapai koneksi ini, digunakan hal-hal berikut: kriptografi kunci publik atau asimetrisTerdapat sepasang kunci: kunci publik (yang dapat diketahui siapa pun) dan kunci pribadi (yang seharusnya hanya dimiliki oleh pemiliknya). Data yang dienkripsi dengan kunci publik hanya dapat didekripsi dengan kunci pribadi, dan sebaliknya, sehingga memungkinkan otentikasi, enkripsi, dan tanda tangan elektronik.

Di balik semua sertifikat ini ada sebuah infrastruktur kunci publik atau PKIyang mencakup otoritas sertifikasi, otoritas registrasi, repositori sertifikat, daftar pencabutan sertifikat (CRL), dan, di banyak lingkungan, otoritas stempel waktu (TSA) untuk mencatat kapan sesuatu ditandatangani.

Struktur internal sebagian besar sertifikat tujuan umum mengikuti standar. X.509, didefinisikan oleh ITU dan dijelaskan secara rinci dalam RFC 5280. Standar ini mendefinisikan bidang-bidang seperti versi, nomor seri, algoritma tanda tangan, penerbit, periode validitas, subjek, kunci publik pemegang, dan kemungkinan ekstensi tambahan.

Mengenai algoritma, sertifikat biasanya menggunakan kriptografi asimetris dengan RSA, DSA atau ECDSARSA dan ECDSA digunakan untuk penandatanganan dan enkripsi, sedangkan DSA berfokus pada penandatanganan dan verifikasi tanda tangan digital.

Format dan ekstensi internal: PEM, DER, CER, CRT dan perusahaan

Ketika kita berbicara tentang ekstensi seperti .cer, .crt, .pem, .der, .pfx, .p12 atau .p7bPada kenyataannya, kita mencampuradukkan dua konsep: format pengkodean sertifikat (teks Base64 atau biner) dan fungsi yang dimiliki file tersebut (hanya sertifikat, sertifikat + kunci pribadi, rantai sertifikat, dll.).

Pada tingkat format internal, sertifikat X.509 direpresentasikan dengan ASN.1 dan biasanya dikodekan dengan DER (biner) atau varian teksnya PEM (DER dikonversi ke Base64 dan dibungkus dengan header seperti MULAI/AKHIRDari situ, berbagai sistem dan standar telah mendefinisikannya. wadah tertentu seperti PKCS#7 (.p7b) atau PKCS#12 (.pfx, .p12).

Kunci untuk menghindari kebingungan adalah mengingat bahwa ekstensi file seringkali hanya satu huruf. konvensi penamaanBerkas .cer atau berkas .crt dapat berisi hal yang sama persis, hanya saja yang satu lebih sering digunakan di Windows dan yang lainnya di lingkungan Unix/Linux, sebagai contoh.

Dalam kelompok umum ini, ada beberapa format kunci Hal-hal ini penting untuk dipahami dengan jelas, karena Anda akan sering menemui hal-hal ini saat bekerja dengan SSL/TLS atau sertifikat pribadi.

Format PEM: “teks yang dapat dibaca” dari sertifikat

Format PEM adalah format yang paling umum digunakan untuk sertifikat SSL/TLS pada server seperti Apache atau Nginx dan di sebagian besar perangkat lunak keamanan. File PEM hanyalah sebuah DER dikode ulang dalam Base64 dan dikelilingi oleh header teks.yang memungkinkan Anda untuk membuka dan menyalinnya dengan editor apa pun (Notepad, nano, vim, dll.).

Sebuah PEM dikenali karena isinya dibatasi oleh garis-garis seperti —–MULAI SERTIFIKAT—– y —– AKHIR SERTIFIKAT—– ketika berisi sertifikat, atau —–MULAI KUNCI PRIVAT—– y —–AKHIR KUNCI PRIVAT—– ketika berisi kunci privat. Semua yang ada di antaranya adalah string Base64 yang mewakili data biner asli.

Dalam satu file PEM, Anda dapat memiliki hanya sertifikatnyaSertifikat beserta rantai CA perantara, kunci privat secara terpisah, atau bahkan seluruh paket (kunci privat, sertifikat server, sertifikat perantara, dan sertifikat root) dapat diberikan. Permintaan penandatanganan sertifikat juga disediakan dalam format PEM. TJSLyang tidak lain hanyalah struktur PKCS#10 yang dikode ulang menjadi teks.

Format ini awalnya didefinisikan dalam RFC 1421-1424 sebagai bagian dari proyek Privacy-enhanced Electronic Mail, yang tidak populer untuk email, tetapi meninggalkan format teks yang sangat baik untuk mentransfer data kriptografi dalam format yang nyaman, mudah dibaca, dan mudah untuk disalin/ditempel.

Dalam praktiknya, file dengan ekstensi .pem, .crt, .cer atau .key Pada sistem Unix/Linux, file tersebut biasanya berupa file PEM. Biasanya, file .key berisi kunci privat, file .crt atau .cer berisi sertifikat server, dan terkadang file PEM tambahan menyertakan rantai CA perantara.

Format DER: biner murni dan sederhana.

DER (Distinguished Encoding Rules) adalah format pengkodean biner Ini adalah struktur ASN.1 yang menjelaskan sertifikat X.509. Struktur ini bukan teks, jadi jika Anda membukanya dengan editor, Anda akan melihat karakter aneh alih-alih string Base64 yang biasa.

Sebuah file DER dapat berisi segala jenis sertifikat atau kunci pribadiFile tersebut biasanya diidentifikasi dengan ekstensi .der atau .cer, terutama di lingkungan Windows atau platform Java. Di Windows, file .der langsung dikenali sebagai file sertifikat dan terbuka dengan penampil bawaan saat diklik dua kali.

Perbedaan praktis dengan PEM adalah, sementara PEM dapat dengan mudah disalin dan dikirim melalui email atau ditempelkan ke formulir web, DER adalah... gumpalan biner tertutup Dirancang untuk konsumsi langsung oleh aplikasi. Namun, secara internal, informasinya sama: PEM tidak lebih dari DER yang dienkode ulang menjadi teks Base64.

Perangkat seperti OpenSSL memungkinkan Anda untuk beralih dari DER ke PEM dan sebaliknya hanya dengan satu perintah, tanpa mengubah isi logis sertifikat sama sekali, hanya bentuk representasinya saja.

Ekstensi .cer dan .crt: anjing yang sama dengan kalung yang berbeda.

Ekstensi .cer dan .crt digunakan untuk menunjukkan berkas yang berisi sertifikat publik, biasanya dalam format PEM atau DER, tergantung pada sistem tempat file tersebut dihasilkan atau diinstal.

Dalam beberapa kasus, file .crt pada server Apache akan menjadi bersertifikat di PEM Dikelilingi oleh header BEGIN/END CERTIFICATE dan siap untuk ditempelkan ke dalam blok konfigurasi. Di Windows, file .cer dapat berupa PEM atau DER, meskipun biasanya termasuk dalam salah satu kategori tersebut tergantung pada alat yang membuatnya.

Hal penting yang perlu dipahami adalah bahwa ekstensi tersebut tidak secara ketat mendefinisikan format internal: file .cer dapat berupa teks PEM atau biner DER, dan penampil atau utilitas seperti OpenSSL akan menentukan cara membacanya. Di browser dan sistem Windows, mengklik dua kali akan membuka... penampil sertifikatDi mana Anda dapat melihat penerbit, subjek, tanggal validitas, penggunaan kunci, dll.

Saat Anda mengekspor sertifikat tanpa kunci pribadi dari browser atau penyimpanan sertifikat Windows, Anda biasanya akan mendapatkan file .cer, yang digunakan untuk memvalidasi tanda tangan, rantai kepercayaan, atau mengenkripsi informasitetapi jangan pernah menandatangani atas nama pemilik (untuk itu Anda memerlukan kunci pribadi, yang terpisah atau berada di dalam wadah yang terlindungi).

CSR, KEY, CA, dan file perantara: file-file lain yang menyertai sertifikat.

Saat Anda memproses sertifikat SSL atau sertifikat pribadi, Anda tidak hanya akan melihat file .pfx, .p12, atau .cer. Seluruh proses juga melibatkan file seperti Sertifikat .csr, .key atau CA (akar dan perantara), yang sama pentingnya agar semuanya berjalan dengan baik.

Permintaan tanda tangan atau CSR (.csr) Ini adalah file yang biasanya Anda buat di server tempat sertifikat SSL akan diinstal. File ini berisi kunci publik, nama domain, organisasi, negara, dan informasi lain yang akan digunakan otoritas sertifikasi untuk menerbitkan sertifikat. File ini mengikuti standar PKCS#10 dan biasanya dikodekan dalam format PEM sehingga Anda dapat menyalin dan menempelkannya ke dalam formulir penyedia.

Kunci pribadi atau KUNCI (.key) Ini adalah file tempat kunci rahasia yang terkait dengan sertifikat disimpan. Biasanya dalam format PEM, dipisahkan oleh BEGIN PRIVATE KEY dan END PRIVATE KEY. Ini adalah file yang sangat sensitif yang tidak boleh dibagikan atau diunggah ke repositori publik, dan dalam banyak kasus, file ini juga dilindungi dengan kata sandi.

File dari CA atau sertifikat kewenangan Di dalamnya terdapat kunci publik dari entitas yang menerbitkan atau menengahi sertifikat tersebut. Browser dan sistem operasi Sertifikat tersebut dilengkapi dengan daftar CA tepercaya bawaan, tetapi terkadang Anda perlu menginstal sertifikat perantara untuk melengkapi rantai kepercayaan sehingga klien dapat memvalidasi sertifikat server Anda tanpa kesalahan.

Sertifikat perantara ini dapat diberikan sebagai file PEM (.pem, .crt, .cer) atau di dalam sebuah kontainer seperti .p7bDalam konfigurasi hosting, sangat umum untuk diminta file CRT (sertifikat domain), KEY (kunci privat), dan CA atau sertifikat perantara untuk menginstal SSL dengan benar.

PKCS#7 / P7B: rantai sertifikat tanpa kunci privat

PKCS#7, biasanya direpresentasikan dengan ekstensi .p7b atau .p7cIni adalah format yang dirancang untuk mengelompokkan satu atau lebih sertifikat ke dalam wadah terstruktur, tanpa menyertakan kunci privat. Format ini umumnya digunakan untuk mendistribusikan rantai sertifikat (sertifikat server ditambah sertifikat perantara) di lingkungan Windows atau Java (Tomcat, keystore, dll.).

Berkas .p7b biasanya dikodekan dalam Base64 ASCII, mirip dengan berkas PEM, dan awalnya didefinisikan dalam RFC 2315 sebagai bagian dari standar kriptografi kunci publik. Saat ini, penerusnya adalah CMS (Cryptographic Message Syntax), tetapi nama PKCS#7 masih banyak digunakan di dunia sertifikat SSL.

Format ini sangat berguna ketika Anda membutuhkannya. instal seluruh rantai kepercayaan pada server atau dalam sistem yang mengelola sertifikat melalui penyimpanan (misalnya, Java keystore). Biasanya, penyedia SSL akan mengirimkan sertifikat server di satu sisi dan file .p7b dengan seluruh rantai CA di sisi lain, atau satu file .p7b yang berisi semuanya.

Jika Anda ingin mengkonversi file .p7b ke PEM, alat seperti OpenSSL memungkinkan Anda untuk mengekstrak sertifikat dengan satu perintah dan menyimpannya ke satu atau lebih file teks. Anda kemudian dapat memisahkan blok BEGIN/END CERTIFICATE jika Anda perlu mengunggahnya secara terpisah ke server Anda.

Penting untuk dicatat bahwa file PKCS#7 tidak pernah berisi kunci pribadiOleh karena itu, dengan sendirinya hal ini tidak berguna untuk penandatanganan atau dekripsi: hal ini hanya menyediakan bagian publik dari rantai sertifikat untuk memvalidasi kepercayaan.

PKCS#12: Apa sebenarnya .pfx dan .p12 itu?

Standar PKCS#12 mendefinisikan kontainer biner yang dilindungi kata sandi yang dapat mencakup sertifikat publik, rantai CA lengkap, dan kunci pribadi terkait. Ekstensi yang paling umum untuk format ini adalah .pfx dan .p12, yang pada dasarnya setara.

Secara historis, PKCS#12 dimulai sebagai format yang terkait erat dengan Microsoft, tetapi dengan el tiempo Hal ini distandardisasi dalam RFC 7292 dan digunakan hingga saat ini di semua jenis sistem, tepatnya karena memungkinkan Mengirimkan pasangan sertifikat + kunci pribadi dengan aman. dari satu tim ke tim lainnya.

Di lingkungan Windows, saat Anda mengekspor sertifikat "kunci pribadi" dari penyimpanan sertifikat pengguna atau mesin, wizard akan menghasilkan file .pfx (atau .p12) yang berisi semua yang Anda butuhkan untuk mengimpornya ke sistem lain: kunci pribadi, pemegang sertifikat, dan biasanya rantai perantara.

Selama pembuatan atau ekspor file PKCS#12, sistem akan meminta Anda untuk menentukan perlindungan kata sandiKata sandi ini akan dibutuhkan nanti untuk mengimpor file ke browser lain, IIS, klien email, atau bahkan sistem operasi lain. Dengan cara ini, jika seseorang mencuri file .pfx, mereka tidak akan dapat menggunakannya tanpa mengetahui kata sandi tersebut.

Alat seperti OpenSSL memungkinkan Anda untuk mengkonversi file .pfx atau .p12 ke PEM, sehingga Anda mendapatkan file teks tempat Anda dapat dengan mudah menemukan blok kunci privat, sertifikat server, dan sertifikat perantara, dan menyalinnya ke tempat yang sesuai (misalnya, di panel hosting yang hanya menerima CRT, KEY, dan CA secara terpisah).

Pembaruan, ekspor, dan impor sertifikat .pfx dan .p12

Dalam bidang sertifikat pribadi (misalnya, yang dikeluarkan oleh FNMT atau otoritas lain untuk keperluan identifikasi), cara untuk mencadangkan dan memperbaruinya terkait erat dengan penggunaan berkas .pfx atau .p12yang berjalan di atas kartu kriptografi, token USB atau langsung sebagai file yang dilindungi di komputer.

Jika sertifikat pribadi Anda belum kedaluwarsa, banyak otoritas mengizinkannya. Perpanjang secara onlinePerpanjangan dapat dilakukan melalui titik pendaftaran (asosiasi profesional, perusahaan, penyedia layanan sertifikasi, dll.) dan Anda akan menerima tautan melalui email untuk menyelesaikan proses tersebut dari komputer Anda sendiri.

Namun, jika sertifikat tersebut sudah kedaluwarsa, biasanya Anda harus hadir secara langsung Datanglah ke tempat pendaftaran yang sama dengan kartu kriptografi atau perangkat tempat sertifikat yang kedaluwarsa disimpan, identifikasi diri Anda, dan mintalah penerbitan baru, yang dapat Anda ekspor lagi dalam format .pfx atau .p12 untuk diimpor di mana pun Anda membutuhkannya.

Di browser seperti Edge atau ChromeProses impor melalui Penyimpanan sertifikat WindowsDari pengaturan privasi dan keamanan, Anda dapat membuka pengelola sertifikat, pilih tab Pribadi, dan impor file .pfx atau .p12. Wizard akan meminta kata sandi kontainer dan menawarkan untuk menandai kunci sebagai dapat diekspor untuk pencadangan di masa mendatang.

Jika alih-alih file .pfx Anda memiliki file .cer tanpa kunci privat (ikon sertifikat tanpa kunci), file tersebut hanya berguna untuk instal sertifikat publik (muncul di bawah "Orang lain"), tetapi bukan untuk penandatanganan atau otentikasi. Dalam hal ini, Anda tidak akan dapat mengambil kunci pribadi dari sana, dan jika Anda tidak memiliki salinan valid lainnya, satu-satunya pilihan adalah meminta sertifikat baru.

Bagaimana format-format ini digunakan dalam sertifikat SSL server

Dalam pekerjaan sehari-hari dengan server web, VPNBaik menggunakan proxy maupun aplikasi Java, format sertifikat yang digunakan berbeda-beda tergantung pada sistem dan jenis instalasinya. Menyiapkan Apache di Linux tidak sama dengan menyiapkan IIS di Windows atau Tomcat di Java.

Di lingkungan Unix/Linux (Apache, Nginx, HAProxy, dll.) adalah hal yang normal untuk bekerja dengan File PEM File-file terpisah: satu untuk kunci privat (.key), satu lagi untuk sertifikat server (.crt atau .cer), dan terkadang satu lagi dengan string CA perantara. Semua file ini dirujuk dalam konfigurasi server untuk membangun TLS.

Pada platform Windows (IIS, layanan desktop jarak jauh, dll.), sangat umum untuk dimintai .pfx atau .p12 Berisi sertifikat, kunci privat, dan rantai kunci. Wizard impor akan menangani penempatan setiap bagian ke dalam penyimpanan yang sesuai, sehingga Anda tidak perlu khawatir tentang detail internalnya.

Dalam lingkungan Java (Tomcat, aplikasi dengan keystore sendiri) penyimpanan bertipe JKS atau PKCS#12Dalam banyak kasus, file .pfx diimpor secara langsung, atau sertifikat .p7b digunakan untuk mengkonfigurasi rantai kepercayaan di dalam keystore, tergantung pada alat dan versi Java yang digunakan.

Saat Anda membeli sertifikat SSL dari penyedia pihak ketiga, Anda mungkin menerima berbagai kombinasi file: file CRT + CA dalam format PEM, file .p7b yang berisi string, atau bahkan file .pfx yang sudah disiapkan sebelumnya. Kuncinya adalah mengidentifikasi jenis file yang benar. Di mana kunci pribadinya? (jika sertifikat tersebut disertakan dan tidak dihasilkan oleh server) dan file mana yang berisi sertifikat server dan rantai perantara.

Pada panel kontrol hosting, Anda biasanya akan diminta untuk mengisi kolom untuk CRT, KEY, dan secara opsional, CA atau sertifikat perantara. Jika Anda hanya memiliki file .pfx, Anda dapat mengonversinya ke PEM menggunakan OpenSSL dan mengekstrak setiap blok dari sana, dengan hati-hati menyalin dari AWAL hingga AKHIR setiap jenis.

Konversi antar format sertifikat dengan OpenSSL

Setelah Anda memahami apa itu setiap file, langkah logis selanjutnya adalah mengetahui bagaimana cara mengonversinya Ketika server atau aplikasi meminta format yang berbeda dari yang disediakan oleh ISP atau CA Anda, alat standar untuk ini adalah OpenSSL, yang tersedia di sebagian besar distribusi Linux dan juga dapat diinstal di Windows.

Sebagai contoh, jika Anda memiliki sertifikat di DER (.der, .cer) Dan jika Anda perlu mengonversinya ke PEM, satu perintah yang mengambil biner tersebut dan mengkodekannya kembali ke Base64 dengan header yang sesuai sudah cukup. Demikian pula, Anda dapat mengubah PEM ke DER jika sistem Anda hanya menerima biner.

Dengan file PKCS#7 (.p7b), Anda dapat menggunakan OpenSSL untuk ekstrak sertifikat dalam format PEM dengan perintah sederhana yang mencetak sertifikat yang terkandung dan menyimpannya ke file teks. Dari sana, Anda memisahkan blok BEGIN/END CERTIFICATE yang berbeda jika Anda memerlukan file individual.

Dalam kasus PKCS#12 (.pfx, .p12), OpenSSL memungkinkan Anda untuk mengkonversi kontainer ke file PEM yang berisi kunci privat dan semua sertifikat. Selama proses tersebut, Anda akan diminta untuk memasukkan kata sandi kontainer dan dapat memilih apakah akan membiarkan kunci privat terenkripsi atau dalam teks biasa di dalam file PEM, tergantung pada tujuan penggunaannya.

Konversi jenis ini memungkinkan skenario seperti mengunggah file .pfx ke server Linux, mengonversinya ke PEM, dan kemudian CRT dan KEY terpisah untuk mengisi formulir instalasi SSL yang tidak secara langsung mendukung kontainer PKCS#12.

Selain konversi langsung DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 dan PKCS#12↔PEM, utilitas yang sama dapat menghasilkan CSR, mengelola kunci, memeriksa sertifikat, dan mengecek tanggal kedaluwarsa, menjadikannya alat dasar di lingkungan apa pun yang bekerja dengan sertifikat.

Jenis-jenis sertifikat digital dan area penggunaannya

Selain format file, penting juga untuk memahami dengan jelas hal-hal berikut: jenis-jenis sertifikat tergantung pada penggunaannya atau jenis entitas yang mereka wakili, karena hal itu memengaruhi cara pengelolaan pencadangan, pembaruan, dan instalasinya.

Pada tingkat regulasi Eropa (Regulasi eIDAS), dibedakan antara Sertifikat elektronik "sederhana" dan sertifikat berkualifikasiYang pertama memenuhi persyaratan identifikasi dan penerbitan dasar, sedangkan yang kedua menuntut proses verifikasi identitas yang lebih ketat dan persyaratan teknis serta organisasi yang lebih ketat dari penyedia. Contoh yang jelas di Spanyol adalah kartu identitas elektronik (DNIe).

Jika kita melihat siapa pemegangnya, kita bisa mendapatkan sertifikat-sertifikat berikut: orang perseorangan, badan hukum atau entitas tanpa kepribadian hukumMasing-masing digunakan untuk menandatangani atau mengesahkan di berbagai bidang: prosedur pribadi, transaksi atas nama perusahaan, atau kewajiban pajak.

Dalam dunia server web, keluarga sertifikat yang paling terkenal adalah keluarga sertifikat Sertifikat SSL/TLSSertifikat-sertifikat ini dipasang pada server untuk mengenkripsi saluran komunikasi dengan pengguna. Sertifikat ini mencakup berbagai varian seperti sertifikat domain tunggal, sertifikat wildcard, dan sertifikat multi-domain (SAN), yang berbeda dalam jumlah nama yang dicakup dan tingkat validasinya.

Terlepas dari jenisnya, semua sertifikat ini pada akhirnya dapat disimpan dan didistribusikan dalam format yang sama: file .cer, .crt, .pem, .p7b atau kontainer .pfx/.p12, tergantung pada sistem tempat sertifikat tersebut akan digunakan dan metode yang dipilih untuk mentransfer atau mencadangkannya.

Kegunaan sertifikat digital sangat besar: Mereka menjamin kerahasiaan dan keasliannya. Dalam hal komunikasi, teknologi ini memungkinkan tanda tangan elektronik yang sah secara hukum, menyederhanakan prosedur administratif dan komersial, serta memungkinkan berbagai layanan jaringan berfungsi dengan aman tanpa pengguna perlu khawatir tentang detail kriptografi.

Pada titik ini, jelas bahwa ekstensi seperti .pfx, .p12, .cer, atau .crt hanyalah cara berbeda untuk mengemas hal yang sama: sertifikat X.509, kunci privat, dan, jika berlaku, rantai kepercayaan, yang, tergantung pada lingkungannya, direpresentasikan sebagai teks Base64, biner DER, atau kontainer PKCS untuk memfasilitasi instalasi dan penyebaran. transportasi antar sistem.