- פורמטים .cer ו- .crt מכילים בדרך כלל אישורי X.509 ציבוריים בפורמט PEM או DER, בעוד שפורמטים .pfx ו- .p12 הם מכולות PKCS#12 עם אישור, שרשרת ומפתח פרטי המוגן בסיסמה.
- PEM ו-PKCS#7 (.p7b) משתמשים בקידוד Base64 ASCII, DER ו-PKCS#12 הם בינאריים; כולם מייצגים את אותו מידע קריפטוגרפי עם מכולות ושימושים שונים.
- המפתח הפרטי נמצא בקבצי .key או בתוך .pfx/.p12, לעולם לא ב-.p7b; זיהוי מיקום המפתח חיוני להתקנה, ייצוא או חידוש אישורים.
- OpenSSL מאפשר המרה בין PEM, DER, PKCS#7 ו-PKCS#12, מה שמקל על התאמת כל אישור לפורמט הנדרש על ידי כל שרת או מערכת.
אם הגעת לכאן לחפש את הבדלים בין קבצי .pfx, .p12, .cer ו-.crtסביר להניח שכבר נתקלתם ביותר מקובץ מוזר אחד בעת התקנת תעודה דיגיטלית או SSL בשרת. אתם לא לבד: בין ראשי תיבות, סיומות ופורמטים, קל להתבלבל ולא לדעת מה כל קובץ עושה או איזה מהם אתם צריכים בכל מקרה.
החדשות הטובות הן שלמרות שהשמות עשויים להיראות מאיימים, את כל זה ניתן להסביר בפשטות אם נבין שכל הקבצים הללו אינם אלא תעודה ומיכלי מפתח בפורמטים שונים (טקסט או בינארי) ומעוצבים עבור מערכות שונות (Windows, לינוקס(ג'אווה, דפדפנים וכו'). נבחן אותם אחד אחד, ברוגע, ונקשר אותם זה לזה כדי שתדעו בדיוק מהו כל דבר, למה הוא מיועד, וכיצד להשתמש בהם או להמיר אותם בעת הצורך.
מהי תעודה דיגיטלית וכיצד קבצי .pfx, .p12, .cer ו-.crt משתלבים יחד?
תעודה דיגיטלית אינה אלא מסמך אלקטרוני חתום על ידי רשות אישורים (CA או, לפי תקנת eIDAS, ספק שירות מוסמך) המקשר זהות למפתח ציבורי. זהות זו יכולה להיות אדם, חברה, שרת אינטרנט, דומיין וכו'.
כדי להשיג חיבור זה, נעשה שימוש באמצעים הבאים: קריפטוגרפיה אסימטרית או מפתח ציבורייש זוג מפתחות: מפתח ציבורי (שכל אחד יכול לדעת) ומפתח פרטי (שרק לבעליו צריך להיות). מה שמוצפן באמצעות המפתח הציבורי ניתן לפענוח רק באמצעות המפתח הפרטי, ולהיפך, מה שמאפשר אימות, הצפנה וחתימות אלקטרוניות.
מאחורי כל התעודות האלה יש תשתית מפתח ציבורי או PKIהכולל את רשות האישורים, רשויות רישום, מאגרי אישורים, רשימות ביטול אישורים (CRLs), ובסביבות רבות, רשות חותמת זמן (TSA) לרישום מועד חתימת משהו.
המבנה הפנימי של הרוב המכריע של תעודות למטרות כלליות עוקב אחר התקן X.509, שהוגדר על ידי ה-ITU ומתואר בפירוט ב-RFC 5280. תקן זה מגדיר שדות כגון גרסה, מספר סידורי, אלגוריתם חתימה, מנפיק, תקופת תוקף, נושא, מפתח ציבורי של בעל התקן והרחבות אפשריות נוספות.
בנוגע לאלגוריתמים, תעודות בדרך כלל משתמשות בקריפטוגרפיה אסימטרית עם RSA, DSA או ECDSARSA ו-ECDSA משמשים הן לחתימה והן להצפנה, בעוד ש-DSA מתמקד בחתימה ואימות של חתימה דיגיטלית.
פורמטים פנימיים והרחבות: PEM, DER, CER, CRT וחברה
כשאנחנו מדברים על הרחבות כמו .cer, .crt, .pem, .der, .pfx, .p12 או .p7bבמציאות, אנחנו מערבבים שני מושגים: פורמט הקידוד של האישור (טקסט Base64 או קובץ בינארי) והפונקציה שיש לקובץ (אישור בלבד, אישור + מפתח פרטי, שרשרת אישורים וכו').
ברמת הפורמט הפנימי, תעודות X.509 מיוצגות באמצעות ASN.1 ובדרך כלל מקודדים באמצעות DER (בינארי) או הגרסה הטקסטואלית שלו PEM (DER המומר ל-Base64 ועוטף בכותרות כמו התחלה/סוף). משם, מערכות ותקנים שונים הגדירו מיכלים ספציפיים כגון PKCS#7 (.p7b) או PKCS#12 (.pfx, .p12).
המפתח למניעת בלבול הוא לזכור שסיומת הקובץ היא לעתים קרובות רק סיומת אחת מוסכמה למתן שמותקובץ .cer או קובץ .crt יכולים להכיל בדיוק את אותו הדבר, רק שאחד מהם משמש יותר בסביבות Windows והשני בסביבות Unix/Linux, כדי לתת דוגמה.
בתוך קבוצה כללית זו, ישנם כמה פורמטים מרכזיים חשוב להבין את אלה בצורה ברורה, משום שאלו אלה שתיתקלו בהם כל הזמן כשאתם עובדים עם SSL/TLS או תעודות אישיות.
פורמט PEM: "הטקסט הקריא" של תעודות
פורמט PEM הוא ללא ספק הנפוץ ביותר עבור אישורי SSL/TLS בשרתים כמו Apache או Nginx וברוב כלי האבטחה. קובץ PEM הוא פשוט DER מקודד מחדש ב-Base64 ומוקף בכותרות טקסטמה שמאפשר לך לפתוח ולהעתיק אותו עם כל עורך (Notepad, nano, vim וכו').
PEM מזוהה מכיוון שתוכנו מופרד על ידי קווים כמו —– אישורי התחלה—– y —– אישור תעודה—– כאשר הוא מכיל תעודה, או —–התחל מפתח פרטי—– y —–סוף מפתח פרטי—– כאשר הוא מכיל מפתח פרטי. כל מה שביניהם הוא מחרוזת Base64 המייצגת את הנתונים הבינאריים המקוריים.
בקובץ PEM יחיד ניתן לקבל רק התעודהניתן לספק את האישור בתוספת שרשרת CA ביניים, את המפתח הפרטי בנפרד, או אפילו את החבילה כולה (מפתח פרטי, אישור שרת, אישורים ביניים ותעודת שורש). בקשות לחתימה על אישורים מסופקות גם ב-PEM. CSRשהם לא יותר ממבני PKCS#10 שמקודדים מחדש לטקסט.
פורמט זה הוגדר במקור ב-RFCs 1421-1424 כחלק מפרויקט הדואר האלקטרוני המשופר בפרטיות, שלא תפס פופולריות בדוא"ל, אך הותיר אחריו פורמט טקסט מצוין עבור העברת נתונים קריפטוגרפיים בפורמט נוח, קריא וקל להעתקה/הדבקה.
בפועל, קבצים עם סיומות .pem, .crt, .cer או .key במערכות יוניקס/לינוקס, אלו בדרך כלל קבצי PEM. בדרך כלל, קובץ .key מכיל את המפתח הפרטי, קובץ .crt או קובץ .cer מכיל את תעודת השרת, ולפעמים קובץ PEM נוסף כולל את שרשרת CA הביניים.
פורמט DER: הקובץ הבינארי הטהור והפשוט
DER (כללי קידוד מובחנים) הוא ה- פורמט קידוד בינארי של מבני ASN.1 המתארים תעודת X.509. זה לא טקסט, כך שאם תפתחו אותו עם עורך תראו תווים מוזרים במקום מחרוזת Base64 טיפוסית.
קובץ DER יכול להכיל כל סוג של תעודה או מפתח פרטיבדרך כלל הוא מזוהה על ידי הסיומות .der או .cer, במיוחד בסביבות Windows או בפלטפורמות Java. ב-Windows, קובץ .der מזוהה ישירות כקובץ אישורים ונפתח במציג המקורי בעת לחיצה כפולה.
ההבדל המעשי עם PEM הוא שבעוד שניתן להעתיק ולשלוח PEM בדוא"ל או להדביק אותו בטפסי אינטרנט בקלות, DER הוא... בלון בינארי סגור מיועד לצריכה ישירה על ידי יישומים. באופן פנימי, לעומת זאת, המידע זהה: PEM אינו אלא DER המקודד מחדש לטקסט Base64.
כלים כמו OpenSSL מאפשרים לך לעבור מ-DER ל-PEM ולהיפך בפקודה אחת, מבלי לשנות כלל את התוכן הלוגי של האישור, אלא רק את צורת הייצוג שלו.
סיומות .cer ו-.crt: אותו כלב עם קולר שונה
הסיומות .cer ו- .crt משמשות לייעוד קבצים המכילים אישורים ציבוריים, בדרך כלל בפורמט PEM או DER, בהתאם למערכת בה הם נוצרים או מותקנים.
במקרים, קובץ .crt בשרת Apache יהיה מוסמך ב-PEM מוקף בכותרות BEGIN/END CERTIFICATE ומוכן להדבקה בבלוק תצורה. ב-Windows, קובץ .cer יכול להיות PEM או DER, אם כי בדרך כלל הוא נופל לכל אחת מהקטגוריות בהתאם לכלי שיצר אותו.
חשוב להבין שהסיומת אינה מגדירה באופן מדויק את הפורמט הפנימי: קובץ .cer יכול להיות טקסט PEM או קובץ בינארי DER, ומציג או כלי עזר כמו OpenSSL יקבעו כיצד לקרוא אותו. בדפדפנים ובמערכות Windows, לחיצה כפולה תפתח את... מציג תעודותהיכן שתוכלו לראות את המנפיק, הנושא, תאריכי התוקף, השימוש במפתח וכו'.
כאשר מייצאים אישור ללא מפתח פרטי מדפדפן או ממאגר האישורים של Windows, בדרך כלל תקבלו קובץ .cer, המשמש עבור לאמת חתימות, לשרשראות אמון או להצפין מידעאבל לעולם לא לחתום בשם הבעלים (לשם כך אתם זקוקים למפתח הפרטי, שנמצא בנפרד או בתוך מיכל מוגן).
קבצי CSR, KEY, CA וקבצי ביניים: הקבצים האחרים הנלווים לתעודה
כשאתם מעבדים תעודת SSL או תעודה אישית, לא תראו רק קבצי .pfx, .p12 או .cer. התהליך כולו כולל גם קבצים כמו תעודות .csr, .key או CA (שורש ותוצרי ביניים), שחשובים באותה מידה כדי שהכל יעבוד.
הבקשה לחתימה או אחריות חברתית (.csr) זהו קובץ שבדרך כלל יוצרים בשרת שבו תותקן תעודת ה-SSL. הוא מכיל את המפתח הציבורי, שם הדומיין, הארגון, המדינה ומידע נוסף שרשות האישורים תשתמש בו כדי להנפיק את התעודה. הוא פועל לפי תקן PKCS#10 ובדרך כלל מקודד ב-PEM כך שתוכלו להעתיק ולהדביק אותו בטופס של הספק.
המפתח הפרטי או מפתח (.key) זהו הקובץ שבו מאוחסן המפתח הסודי המשויך לתעודה. בדרך כלל הוא בפורמט PEM, מופרד על ידי BEGIN PRIVATE KEY ו- END PRIVATE KEY. זהו קובץ רגיש ביותר שאסור לשתף או להעלות למאגרים ציבוריים, ובמקרים רבים, הוא גם מוגן בסיסמה.
הקובץ של CA או תעודת סמכות הוא מכיל את המפתח הציבורי של הישות שמנפיקה או מתווכת את האישור. דפדפנים ו מערכות הפעלה הם מגיעים עם רשימה ברירת מחדל של רשויות אישורים מהימנות, אך לעיתים עליך להתקין אישורים ביניים כדי להשלים את שרשרת האמון כך שלקוחות יוכלו לאמת את אישור השרת שלך ללא שגיאות.
ניתן לספק תעודות ביניים אלה כקבצי PEM (.pem, .crt, .cer) או בתוך מכולה כגון .p7bבתצורות אירוח, נפוץ מאוד להתבקש להזין את קבצי ה-CRT (תעודת הדומיין), ה-KEY (מפתח פרטי) וקובצי CA או תעודות ביניים כדי להתקין SSL כראוי.
PKCS#7 / P7B: שרשרת אישורים ללא מפתח פרטי
PKCS#7, מיוצג בדרך כלל עם סיומות .p7b או .p7cזהו פורמט שנועד לקבץ תעודה אחת או יותר לתוך מכל מובנה, מבלי לכלול את המפתח הפרטי. הוא משמש בדרך כלל עבור להפיץ שרשראות תעודות (תעודת שרת בתוספת תעודות ביניים) בסביבות Windows או Java (Tomcat, keystore וכו').
קובץ .p7b מקודד בדרך כלל בפורמט Base64 ASCII, בדומה לקובץ PEM, והוא הוגדר במקור ב-RFC 2315 כחלק מתקני הקריפטוגרפיה של מפתח ציבורי. כיום, יורשו הוא CMS (Cryptographic Message Syntax), אך השם PKCS#7 עדיין נמצא בשימוש נרחב בעולם תעודות ה-SSL.
פורמט זה שימושי מאוד כשצריך התקינו את כל שרשרת האמון בשרת או במערכת שמנהלת אישורים דרך מאגר (לדוגמה, מאגר המפתחות של Java). בדרך כלל, ספק SSL יספק את אישור השרת מצד אחד וקובץ .p7b עם כל שרשרת רשות האישורים מצד שני, או קובץ .p7b יחיד המכיל את הכל.
אם ברצונך להמיר קובץ .p7b ל-PEM, כלים כמו OpenSSL מאפשרים לך לחלץ את האישורים בפקודה אחת ולשמור אותם בקובץ טקסט אחד או יותר. לאחר מכן תוכל להפריד את בלוקי BEGIN/END CERTIFICATE אם עליך להעלות אותם בנפרד לשרת שלך.
חשוב לציין שקובץ PKCS#7 לעולם לא מכיל את המפתח הפרטילכן, כשלעצמו הוא אינו שימושי לחתימה או פענוח: הוא מספק רק את החלק הציבורי של שרשרת האישורים כדי לאמת אמון.
PKCS#12: מה בדיוק זה .pfx ו-.p12?
תקן PKCS#12 מגדיר מכל בינארי המוגן בסיסמה שיכול לכלול תעודות ציבוריות, שרשראות CA שלמות והמפתח הפרטי משויך. הסיומות הנפוצות ביותר עבור פורמט זה הן .pfx ו- .p12, שהן כמעט שוות ערך.
מבחינה היסטורית, PKCS#12 התחיל כפורמט הקשור קשר הדוק למיקרוסופט, אך עם הזמן הוא תוקן ב-RFC 7292 והוא משמש כיום בכל סוגי המערכות, דווקא משום שהוא מאפשר להעביר בצורה מאובטחת את זוג התעודה + המפתח הפרטי מצוות אחד לצוות אחר.
בעולם Windows, כאשר מייצאים אישור "מפתח פרטי" ממאגר אישורי המשתמש או המכונה, האשף יוצר קובץ .pfx (או .p12) הכולל את כל מה שצריך כדי לייבא אותו למערכת אחרת: מפתח פרטי, בעל האישור, ובדרך כלל שרשרת הביניים.
במהלך יצירה או ייצוא של קובץ PKCS#12, המערכת תבקש ממך לציין הגנה באמצעות סיסמהסיסמה זו תידרש מאוחר יותר כדי לייבא את הקובץ לדפדפן אחר, IIS, לקוח דוא"ל או אפילו מערכת הפעלה אחרת. בדרך זו, אם מישהו יגנוב את קובץ ה-.pfx, הוא לא יוכל להשתמש בו מבלי לדעת את הסיסמה.
כלים כמו OpenSSL מאפשרים לך להמיר קובץ .pfx או .p12 ל-PEM, כך שאתה מקבל קובץ טקסט שבו תוכל לאתר בקלות את בלוק המפתח הפרטי, את אישור השרת ואת אישורי הביניים, ולהעתיק אותם היכן שמתאים (לדוגמה, בפאנל אירוח שמקבל רק CRT, KEY ו-CA בנפרד).
חידוש, ייצוא וייבוא של תעודות .pfx ו- .p12
בתחום התעודות האישיות (לדוגמה, אלו שהונפקו על ידי ה-FNMT או רשויות אחרות למטרות זיהוי), הדרך לגיבוין ולחידושן קשורה קשר הדוק לשימוש ב... קבצי .pfx או .p12, אשר נעים על גבי כרטיסי קריפטוגרפיים, טוקנים USB או ישירות כקבצים מוגנים במחשב.
אם התעודה האישית שלך טרם פגה, רשויות רבות מאפשרות זאת חדשו את זה באינטרנטחידוש הרישום מופעל מנקודת הרישום (איגוד מקצועי, חברה, ספק שירותי הסמכה וכו') ואתה מקבל קישור בדוא"ל להשלמת התהליך מהמחשב שלך.
עם זאת, אם התעודה כבר פגה, בדרך כלל תצטרך להשתתף באופן אישי גשו לאותה נקודת רישום עם כרטיס הקריפטוגרפי או המכשיר שלכם שבה מאוחסנת התעודה שפג תוקפה, זהו את עצמכם ובקשו הנפקה חדשה, אותה תוכלו לייצא שוב בפורמט .pfx או .p12 כדי לייבא אותה לכל מקום שתצטרכו.
בדפדפנים כמו אדג' או כרוםתהליך הייבוא עובר דרך מאגר האישורים של Windowsמהגדרות הפרטיות והאבטחה, ניתן לפתוח את מנהל האישורים, לבחור בכרטיסייה אישי ולייבא קובץ .pfx או .p12. האשף יבקש את סיסמת המיכל ויציע לסמן את המפתח כניתן לייצוא לגיבויים עתידיים.
אם במקום קובץ .pfx יש לך קובץ .cer ללא מפתח פרטי (סמל תעודה ללא מפתח), קובץ זה שימושי רק עבור התקן את האישור הציבורי (הוא מופיע תחת "אנשים אחרים"), אך לא לצורך חתימה או אימות. במקרה כזה, לא תוכלו לאחזר את המפתח הפרטי משם, ואם אין לכם עותק תקף אחר, האפשרות היחידה תהיה לבקש אישור חדש.
כיצד פורמטים אלה משמשים בתעודות SSL של שרתים
בעבודה היומיומית עם שרתי אינטרנט, VPNבין אם משתמשים בפרוקסי או ביישומי ג'אווה, פורמטי האישורים השונים בהם נעשה שימוש תלויים במערכת ובסוג ההתקנה. הגדרת Apache ב-Linux אינה זהה להגדרת IIS ב-Windows או Tomcat ב-Java.
בסביבות יוניקס/לינוקס (אפאצ'י, נגינקס, HAProxy וכו') זה נורמלי לעבוד עם קבצי PEM קבצים נפרדים: אחד עבור המפתח הפרטי (.key), אחר עבור תעודת השרת (.crt או .cer), ולפעמים עוד אחד עם מחרוזת CA ביניים. כל אלה מוזכרת בתצורת השרת כדי ליצור TLS.
בפלטפורמות Windows (IIS, שירותי שולחן עבודה מרוחק וכו') נפוץ מאוד להתבקש לספק .pfx או .p12 המכיל גם את האישור וגם את המפתח הפרטי ואת השרשרת. אשף הייבוא דואג להצבת כל פריט באחסון המתאים לו, כך שאין צורך לדאוג לפרטים הפנימיים.
בסביבות ג'אווה (Tomcat, יישומים עם מאגר מפתחות משלהם) מאגרי מפתחות מהסוג JKS או PKCS#12במקרים רבים, קובץ .pfx מיובא ישירות, או שאישורי .p7b משמשים להגדרת שרשרת האמון בתוך מאגר מפתחות, בהתאם לכלי ולגרסת Java.
כאשר אתם רוכשים תעודת SSL מספק צד שלישי, ייתכן שתקבלו מגוון שילובי קבצים: קובץ CRT + CA בפורמט PEM, קובץ .p7b המכיל את המחרוזת, או אפילו קובץ .pfx מוכן מראש. המפתח הוא לזהות את סוג הקובץ הנכון. איפה המפתח הפרטי? (אם הוא מגיע איתך ולא נוצר על ידי השרת) ואיזה קובץ מכיל את תעודת השרת ואת שרשרת הביניים.
בלוחות בקרה של אירוח, בדרך כלל תתבקשו למלא שדות עבור CRT, KEY, ובאופן אופציונלי, CA או אישור ביניים. אם יש לכם רק קובץ .pfx, תוכלו להמיר אותו ל-PEM באמצעות OpenSSL ולחלץ משם כל בלוק, תוך העתקה זהירה מ-BEGIN ל-END של כל סוג.
המרה בין פורמטי תעודה עם OpenSSL
ברגע שתבין מהו כל קובץ, הצעד ההגיוני הבא הוא לדעת איך להמיר אותם כאשר השרת או האפליקציה מבקשים פורמט שונה מזה שסופק על ידי ספק האינטרנט או רשות האישור שלך, הכלי הסטנדרטי לכך הוא OpenSSL, הזמין ברוב הפצות לינוקס וניתן להתקנה גם על Windows.
לדוגמה, אם יש לך תעודה ב DER (.der, .cer) ואם אתם צריכים להמיר אותו ל-PEM, פקודה אחת שלוקחת את הקובץ הבינארי הזה ומקודדת אותו מחדש ל-Base64 עם הכותרות המתאימות תספיק. באופן דומה, אתם יכולים להמיר PEM ל-DER אם המערכת שלכם מקבלת רק קובץ בינארי.
בעזרת קובץ PKCS#7 (.p7b), ניתן להשתמש ב-OpenSSL כדי לחלץ את התעודות בפורמט PEM עם פקודה פשוטה שמדפיסה את האישורים הכלולים ושומרת אותם בקובץ טקסט. משם, ניתן להפריד בין בלוקי BEGIN/END CERTIFICATE השונים אם יש צורך בקבצים בודדים.
במקרה של PKCS#12 (קובץ .pfx, .p12), OpenSSL מאפשר לך להמיר את המכולה לקובץ PEM המכיל את המפתח הפרטי ואת כל האישורים. במהלך התהליך, תתבקש להזין את סיסמת המכולה ותוכל לבחור אם להשאיר את המפתח הפרטי מוצפן או בטקסט רגיל בתוך קובץ ה-PEM, בהתאם לשימוש המיועד שלו.
סוגי המרות אלה יוצרים תרחישים אפשריים כגון העלאת קובץ .pfx לשרת לינוקס, המרתו ל-PEM ולאחר מכן CRT ומפתח נפרדים למלא טופס התקנה של SSL שאינו תומך ישירות במכולות PKCS#12.
בנוסף להמרות ישירות של DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 ו-PKCS#12↔PEM, אותה תוכנה יכולה לייצר הודעות CSR, לנהל מפתחות, לבדוק אישורים ולבדוק תאריכי תפוגה, מה שהופך אותה לכלי בסיסי בכל סביבה שעובדת עם אישורים.
סוגי תעודות דיגיטליות ותחומי שימוש בהן
מעבר לפורמט הקובץ, כדאי גם להיות ברור לגבי סוגי תעודות בהתאם לשימוש שלהם או לסוג הישות שהם מייצגים, שכן הדבר משפיע על אופן ניהול הגיבויים, החידושים וההתקנות שלהם.
ברמה הרגולטורית האירופית (תקנת eIDAS), מבחינים בין תעודות אלקטרוניות "פשוטות" ותעודות מוסמכותהראשונים עומדים בדרישות זיהוי והנפקה בסיסיות, בעוד שהאחרונים דורשים תהליכי אימות זהות מחמירים יותר ותנאים טכניים וארגוניים מחמירים יותר מהספק. דוגמה מובהקת בספרד תהיה תעודת הזהות האלקטרונית (DNIe).
אם נבחן מי המחזיק, נוכל לקבל תעודות של אדם טבעי, אדם משפטי או ישות ללא אישיות משפטיתכל אחד מהם משמש לחתימה או אימות בתחומים שונים: נהלים אישיים, עסקאות מטעם חברה או התחייבויות מס, בהתאמה.
בעולם שרתי האינטרנט, משפחת האישורים המוכרת ביותר היא זו של תעודות SSL/TLSתעודות אלו מותקנות בשרתים כדי להצפין את ערוץ התקשורת עם המשתמשים. הן כוללות גרסאות כגון תעודות דומיין יחיד, תווים כלליים ותעודות מרובות דומיינים (SAN), הנבדלות במספר השמות שהן מכסות וברמת האימות שלהן.
ללא קשר לסוג, כל האישורים הללו יכולים בסופו של דבר להיות מאוחסנים ומופצים באותם פורמטים: קבצי .cer, .crt, .pem, .p7b או מכולות .pfx/.p12, בהתאם למערכת שבה הם ישמשו ולשיטה שנבחרה להובלתם או גיבוים.
התועלת של תעודות דיגיטליות היא עצומה: הם מבטיחים סודיות ואותנטיות של תקשורת, הם מאפשרים חתימות אלקטרוניות תקפות מבחינה משפטית, מפשטים הליכים אדמיניסטרטיביים ומסחריים, ומאפשרים לשירותי רשת מרובים לתפקד בצורה מאובטחת מבלי שהמשתמש יצטרך לדאוג לפרטים קריפטוגרפיים.
בשלב זה, ברור שתוספים כמו .pfx, .p12, .cer או .crt הם פשוט דרכים שונות לארוז את אותו הדבר: אישור X.509, מפתח פרטי, וכאשר רלוונטי, שרשרת אמון, אשר, בהתאם לסביבה, מיוצגים כטקסט Base64, קובץ בינארי DER או מכולות PKCS כדי להקל על ההתקנה והפריסה. תחבורה בין מערכות.
כותב נלהב על עולם הבתים והטכנולוגיה בכלל. אני אוהב לחלוק את הידע שלי באמצעות כתיבה, וזה מה שאעשה בבלוג הזה, אראה לכם את כל הדברים הכי מעניינים על גאדג'טים, תוכנה, חומרה, טרנדים טכנולוגיים ועוד. המטרה שלי היא לעזור לך לנווט בעולם הדיגיטלי בצורה פשוטה ומשעשעת.