Išsamiai paaiškinti skirtumai tarp .pfx, .p12, .cer ir .crt formatų

Jei atėjote čia ieškoti .pfx, .p12, .cer ir .crt skirtumaiDiegdami skaitmeninį sertifikatą arba SSL serveryje, tikriausiai jau susidūrėte su ne vienu keistu failu. Jūs ne vieni: tarp akronimų, plėtinių ir formatų lengva susipainioti ir nežinoti, ką daro kiekvienas failas ar kurio jums reikia kiekvienu atveju.

Geros žinios yra tai, kad nors pavadinimai gali atrodyti bauginantys, visa tai galima paaiškinti gana paprastai, jei suprasime, kad visi šie failai yra ne kas kita, kaip sertifikatų ir raktų konteineriai skirtingais formatais (tekstiniu arba dvejetainiu) ir sukurta skirtingoms sistemoms (Windows, Linux(Java, naršyklės ir kt.). Ramiai juos aptarsime po vieną ir susiesime, kad tiksliai žinotumėte, kas yra kiekvienas dalykas, kam jis skirtas ir kaip jį naudoti ar konvertuoti, kai to reikia.

Kas yra skaitmeninis sertifikatas ir kaip dera .pfx, .p12, .cer ir .crt?

Skaitmeninis sertifikatas yra ne kas kita, kaip sertifikavimo institucijos pasirašytas elektroninis dokumentas (CA arba, pagal eIDAS reglamentą, kvalifikuotas paslaugų teikėjas), kuris susieja tapatybę su viešuoju raktu. Ta tapatybė gali būti asmuo, įmonė, žiniatinklio serveris, domenas ir kt.

Norint pasiekti šį ryšį, naudojami šie metodai: viešojo rakto arba asimetrinė kriptografijaYra raktų pora: viešasis raktas (kurį gali žinoti visi) ir privatusis raktas (kurį turėtų turėti tik savininkas). Tai, kas užšifruota viešuoju raktu, gali būti iššifruota tik privačiuoju raktu ir atvirkščiai, todėl galima autentifikuoti, šifruoti ir naudoti elektroninius parašus.

Už visų šių sertifikatų slypi viešojo rakto infrastruktūra arba PKIkuri apima sertifikavimo instituciją, registracijos institucijas, sertifikatų saugyklas, sertifikatų atšaukimo sąrašus (CRL) ir, daugelyje aplinkų, laiko žymų instituciją (TSA), skirtą registruoti, kada kažkas buvo pasirašyta.

Daugelio bendrosios paskirties sertifikatų vidinė struktūra atitinka standartą 509 m, apibrėžtas Tarptautinės telekomunikacijų sąjungos (ITU) ir išsamiai aprašytas RFC 5280. Šiame standarte apibrėžiami tokie laukai kaip versija, serijos numeris, parašo algoritmas, išdavėjas, galiojimo laikotarpis, subjektas, turėtojo viešasis raktas ir galimi papildomi plėtiniai.

Kalbant apie algoritmus, sertifikatuose paprastai naudojama asimetrinė kriptografija su RSA, DSA arba ECDSARSA ir ECDSA skirti ir pasirašymui, ir šifravimui, o DSA – skaitmeninio parašo pasirašymui ir tikrinimui.

Vidiniai formatai ir plėtiniai: PEM, DER, CER, CRT ir įmonės

Kai kalbame apie tokius plėtinius kaip .cer, .crt, .pem, .der, .pfx, .p12 arba .p7bIš tikrųjų mes maišome dvi sąvokas: sertifikato kodavimo formatą („Base64“ tekstas arba dvejetainis) ir failo funkciją (tik sertifikatas, sertifikatas + privatus raktas, sertifikatų grandinė ir kt.).

Vidinio formato lygmeniu X.509 sertifikatai pateikiami kaip ASN.1 ir paprastai yra koduojami naudojant DER (dvejetainį) arba jo tekstinį variantą PEM (DER konvertuojamas į Base64 ir apvyniojamas antraštėmis, pvz. PRADŽIA/PABAIGA). Nuo to laiko buvo apibrėžtos skirtingos sistemos ir standartai specifiniai konteineriai pvz., PKCS#7 (.p7b) arba PKCS#12 (.pfx, .p12).

Svarbiausia norint išvengti painiavos yra atsiminti, kad failo plėtinys dažnai yra tik vienas pavadinimų konvencija.cer arba .crt faile gali būti tas pats dalykas, tik vienas iš jų dažniau naudojamas „Windows“, o kitas – „Unix“ / „Linux“ aplinkose, pavyzdžiui.

Šioje bendroje grupėje yra keletas pagrindiniai formatai Svarbu juos aiškiai suprasti, nes su jais nuolat susidursite dirbdami su SSL/TLS arba asmeniniais sertifikatais.

PEM formatas: sertifikatų „skaitomas tekstas“

PEM formatas yra bene labiausiai paplitęs SSL/TLS sertifikatams tokiuose serveriuose kaip „Apache“ ar „Nginx“ ir daugumoje saugumo įrankių. PEM failas yra tiesiog DER perkoduotas naudojant „Base64“ ir apsuptas teksto antraštėmiskuri leidžia atidaryti ir nukopijuoti naudojant bet kurį redaktorių („Notepad“, „nano“, „vim“ ir kt.).

PEM atpažįstamas, nes jo turinys yra apribotas linijomis, tokiomis kaip ––PRADESIOS SERTIFIKATAS–– y ––PABAIGOS SERTIFIKATAS–– kai jame yra sertifikatas, arba --- PRADĖKITE PRIVAČĮ RAKTĄ-- y ––BAIGTI PRIVAČĮ RAKTĄ–– kai jame yra privatusis raktas. Viskas tarp jų yra „Base64“ eilutė, vaizduojanti pradinius dvejetainius duomenis.

Viename PEM faile galite turėti tik sertifikatasGalima pateikti sertifikatą kartu su tarpine CA grandine, privatųjį raktą atskirai arba net visą paketą (privatųjį raktą, serverio sertifikatą, tarpinius sertifikatus ir šakninį sertifikatą). Sertifikatų pasirašymo užklausos taip pat pateikiamos PEM formatu. ĮSAkurios tėra į tekstą perkoduotos PKCS#10 struktūros.

Šis formatas iš pradžių buvo apibrėžtas RFC 1421–1424 kaip privatumo užtikrinimo elektroninio pašto projekto dalis, kuris nebuvo prigijęs el. paštui, tačiau paliko puikų teksto formatą. transportuoti kriptografinius duomenis patogiu, įskaitomu ir lengvai kopijuojamu/įklijuojamu formatu.

Praktiškai failai su plėtiniais .pem, .crt, .cer arba .key „Unix“ / „Linux“ sistemose tai paprastai yra PEM failai. Paprastai .key faile yra privatusis raktas, .crt arba .cer faile – serverio sertifikatas, o kartais papildomame PEM faile yra tarpinė CA grandinė.

DER formatas: grynas ir paprastas dvejetainis formatas

DER (atskiros kodavimo taisyklės) yra dvejetainio kodavimo formatas ASN.1 struktūrų, apibūdinančių X.509 sertifikatą. Tai nėra tekstas, todėl atidarius jį redaktoriumi, vietoj įprastos Base64 eilutės matysite keistus simbolius.

DER faile gali būti bet kokio tipo sertifikatas arba privatusis raktasPaprastai jis žymimas .der arba .cer plėtiniais, ypač „Windows“ aplinkose arba „Java“ platformose. „Windows“ sistemoje .der failas tiesiogiai atpažįstamas kaip sertifikato failas ir dukart spustelėjus atidaromas naudojant vietinę peržiūros programą.

Praktinis PEM skirtumas yra tas, kad nors PEM galima lengvai nukopijuoti ir išsiųsti el. paštu arba įklijuoti į žiniatinklio formas, DER yra uždaras dvejetainis blokas Sukurta tiesioginiam programų naudojimui. Tačiau viduje informacija yra ta pati: PEM yra ne kas kita, kaip DER, perkoduotas į „Base64“ tekstą.

Tokios priemonės kaip „OpenSSL“ leidžia perjungti iš DER į PEM ir atvirkščiai viena komanda, visiškai nekeičiant sertifikato loginio turinio, tik jo pateikimo formą.

.cer ir .crt plėtiniai: tas pats šuo su skirtingu antkakliu

Plėtiniai .cer ir .crt naudojami žymėti failai, kuriuose yra viešieji sertifikatai, paprastai PEM arba DER formatu, priklausomai nuo sistemos, kurioje jie generuojami arba įdiegiami.

Kai kuriais atvejais .crt failas „Apache“ serveryje bus sertifikuota PEM srityje apsuptas BEGIN/END CERTIFICATE antraštėmis ir paruoštas įklijuoti į konfigūracijos bloką. Sistemoje „Windows“ .cer failas gali būti PEM arba DER formato, nors paprastai jis patenka į bet kurią iš šių kategorijų, priklausomai nuo įrankio, kuris jį sugeneravo.

Svarbu suprasti, kad plėtinys griežtai neapibrėžia vidinio formato: .cer failas gali būti PEM tekstinis arba DER dvejetainis, o peržiūros programa arba programa, pvz., „OpenSSL“, nustatys, kaip jį skaityti. Naršyklėse ir „Windows“ sistemose dukart spustelėjus bus atidarytas... sertifikatų peržiūros programakur galite matyti išdavėją, temą, galiojimo datas, rakto naudojimą ir kt.

Kai eksportuojate sertifikatą be privataus rakto iš naršyklės arba „Windows“ sertifikatų saugyklos, paprastai gausite .cer failą, kuris naudojamas patvirtinti parašus, pasitikėjimo grandines arba užšifruoti informacijąbet niekada nepasirašyti savininko vardu (tam reikalingas privatusis raktas, kuris yra atskiras arba apsaugotame konteineryje).

CSR, KEY, CA ir tarpiniai failai: kiti su sertifikatu pateikiami failai

Apdorojant SSL sertifikatą arba asmeninį sertifikatą, matysite ne tik .pfx, .p12 arba .cer failus. Visas procesas taip pat apima tokius failus kaip .csr, .key arba CA sertifikatai (šaknis ir tarpiniai), kurie yra vienodai svarbūs, kad viskas veiktų.

Prašymas pasirašyti arba Klientų aptarnavimo skyrius (.csr) Tai failas, kurį paprastai generuojate serveryje, kuriame bus įdiegtas SSL sertifikatas. Jame yra viešasis raktas, domeno vardas, organizacija, šalis ir kita informacija, kurią sertifikatų išdavimo institucija naudos sertifikatui išduoti. Jis atitinka PKCS#10 standartą ir paprastai yra užkoduotas PEM formatu, todėl galite jį nukopijuoti ir įklijuoti į teikėjo formą.

Privatusis raktas arba RAKTAS (.raktas) Tai failas, kuriame saugomas su sertifikatu susietas slaptasis raktas. Paprastai jis yra PEM formato, atskirtas BEGIN PRIVATE KEY ir END PRIVATE KEY. Tai itin jautrus failas, kurio negalima bendrinti ar įkelti į viešas saugyklas, be to, daugeliu atvejų jis papildomai apsaugotas slaptažodžiu.

Byla CA arba įgaliojimo sertifikatas Jame yra sertifikatą išduodančio arba jį perduodančio subjekto viešasis raktas. Naršyklės ir operacines sistemas Jie pateikiami su numatytuoju patikimų CA sąrašu, tačiau kartais reikia įdiegti tarpinius sertifikatus, kad būtų užbaigta pasitikėjimo grandinė, jog klientai galėtų be klaidų patvirtinti jūsų serverio sertifikatą.

Šie tarpiniai sertifikatai gali būti pateikiami kaip PEM failai (.pem, .crt, .cer) arba konteineryje, pvz. .p7bHostingo konfigūracijose labai dažnai prašoma pateikti CRT (domeno sertifikatą), KEY (privatų raktą) ir CA arba tarpinius sertifikatų failus, kad būtų galima tinkamai įdiegti SSL.

PKCS#7 / P7B: sertifikatų grandinė be privačiojo rakto

PKCS#7, paprastai pateikiamas su plėtiniais .p7b arba .p7cTai formatas, skirtas vienam ar keliems sertifikatams grupuoti į struktūrizuotą konteinerį, neįtraukiant privataus rakto. Jis dažniausiai naudojamas platinti sertifikatų grandines (serverio sertifikatas ir tarpiniai sertifikatai) „Windows“ arba „Java“ aplinkose („Tomcat“, „keystore“ ir kt.).

.p7b failas paprastai užkoduojamas Base64 ASCII formatu, panašiai kaip PEM failas, ir iš pradžių buvo apibrėžtas RFC 2315 kaip viešojo rakto kriptografijos standartų dalis. Šiandien jo įpėdinis yra CMS (kriptografinių pranešimų sintaksė), tačiau pavadinimas PKCS#7 vis dar plačiai naudojamas SSL sertifikatų pasaulyje.

Šis formatas yra labai naudingas, kai reikia įdiegti visą pasitikėjimo grandinę serveryje arba sistemoje, kuri tvarko sertifikatus per saugyklą (pvz., „Java“ raktų saugyklą). Paprastai SSL teikėjas pateikia serverio sertifikatą, o .p7b failą su visa CA grandine – arba vieną .p7b failą, kuriame yra viskas.

Jei norite konvertuoti .p7b failą į PEM, tokios priemonės kaip „OpenSSL“ leidžia išskleisti sertifikatus viena komanda ir išsaugoti juos viename ar keliuose tekstiniuose failuose. Tada galite atskirti BEGIN/END CERTIFICATE blokus, jei reikia juos atskirai įkelti į serverį.

Svarbu atkreipti dėmesį, kad PKCS#7 failas Jame niekada nėra privataus raktoTodėl pats savaime jis nėra naudingas pasirašymui ar iššifravimui: jis tik suteikia viešąją sertifikatų grandinės dalį pasitikėjimui patvirtinti.

PKCS#12: Kas tiksliai yra .pfx ir .p12?

PKCS#12 standartas apibrėžia slaptažodžiu apsaugotą dvejetainį konteinerį, kuriame gali būti viešieji sertifikatai, pilnos CA grandinės ir privatusis raktas susiję. Dažniausi šio formato plėtiniai yra .pfx ir .p12, kurie praktiškai yra lygiaverčiai.

Istoriškai PKCS#12 iš pradžių buvo formatas, glaudžiai susijęs su „Microsoft“, tačiau su El Tiempo Jis buvo standartizuotas RFC 7292 ir šiandien naudojamas visų tipų sistemose būtent todėl, kad leidžia saugiai transportuoti sertifikatą ir privačių raktų porą iš vienos komandos į kitą.

„Windows“ aplinkoje, eksportuojant „privataus rakto“ sertifikatą iš vartotojo arba kompiuterio sertifikatų saugyklos, vedlys sugeneruoja .pfx (arba .p12) failą, kuriame yra viskas, ko reikia norint jį importuoti į kitą sistemą: privatusis raktas, sertifikato turėtojas ir paprastai tarpinė grandinė.

Kuriant arba eksportuojant PKCS#12 failą, sistema paprašys nurodyti apsaugos slaptažodisŠis slaptažodis bus reikalingas vėliau norint importuoti failą į kitą naršyklę, IIS, el. pašto klientą ar net kitą operacinę sistemą. Tokiu būdu, jei kas nors pavogs .pfx failą, jis negalės jo naudoti nežinodamas šio slaptažodžio.

Tokios priemonės kaip „OpenSSL“ leidžia konvertuoti .pfx arba .p12 failą į PEM, todėl gaunate tekstinį failą, kuriame galite lengvai rasti privataus rakto bloką, serverio sertifikatą ir tarpinius sertifikatus ir nukopijuoti juos ten, kur reikia (pavyzdžiui, prieglobos skydelyje, kuris priima tik CRT, KEY ir CA atskirai).

.pfx ir .p12 sertifikatų atnaujinimas, eksportas ir importas

Asmeninių sertifikatų (pavyzdžiui, FNMT ar kitų institucijų išduotų tapatybės nustatymo tikslais) srityje jų atsarginių kopijų kūrimo ir atnaujinimo būdas yra glaudžiai susijęs su naudojimu. .pfx arba .p12 failai, kurie keliauja kriptografinėmis kortelėmis, žetonais USB arba tiesiogiai kaip apsaugotus failus kompiuteryje.

Jei jūsų asmens pažymėjimas dar nepasibaigė, daugelis institucijų leidžia Atnaujinkite jį internetuAtnaujinimas įjungiamas registracijos vietoje (profesinė asociacija, įmonė, sertifikavimo paslaugų teikėjas ir kt.), o nuorodą, kurią galite užbaigti savo kompiuteryje, gausite el. paštu.

Tačiau, jei sertifikato galiojimo laikas jau pasibaigęs, paprastai turėsite dalyvauti asmeniškai Eikite į tą patį registracijos tašką su savo kriptografine kortele arba įrenginiu, kuriame saugomas pasibaigusio galiojimo sertifikatas, identifikuokite save ir paprašykite naujo išdavimo. Šį sertifikatą galite eksportuoti .pfx arba .p12 formatu, kad galėtumėte importuoti ten, kur jums reikia.

Naršyklėse, tokiose kaip Edge arba ChromeImportavimo procesas vyksta per „Windows“ sertifikatų saugyklaPrivatumo ir saugos nustatymuose galite atidaryti sertifikatų tvarkytuvę, pasirinkti skirtuką „Asmeniniai“ ir importuoti .pfx arba .p12 failą. Vedlys paprašys konteinerio slaptažodžio ir pasiūlys pažymėti raktą kaip eksportuojamą būsimoms atsarginėms kopijoms.

Jei vietoj .pfx failo turite .cer failą be privačiojo rakto (sertifikato piktograma be rakto), tas failas naudingas tik įdiegti viešąjį sertifikatą (jis rodomas skiltyje „Kiti asmenys“), bet ne pasirašymui ar autentifikavimui. Tokiu atveju negalėsite iš ten gauti privačiojo rakto, o jei neturėsite kitos galiojančios kopijos, vienintelė galimybė bus paprašyti naujo sertifikato.

Kaip šie formatai naudojami serverio SSL sertifikatuose

Kasdien dirbdami su žiniatinklio serveriais, VPTNesvarbu, ar naudojami tarpiniai serveriai, ar „Java“ programos, skirtingi naudojami sertifikatų formatai priklauso nuo sistemos ir diegimo tipo. „Apache“ nustatymas „Linux“ sistemoje nėra tas pats, kas IIS nustatymas „Windows“ sistemoje arba „Tomcat“ nustatymas „Java“ sistemoje.

Unix/Linux aplinkose („Apache“, „Nginx“, „HAProxy“ ir kt.) įprasta dirbti su PEM failai atskiri failai: vienas – privačiam raktui (.key), kitas – serverio sertifikatui (.crt arba .cer), o kartais dar vienas – su tarpine CA eilute. Į visus šiuos failus nurodoma serverio konfigūracijoje, siekiant nustatyti TLS.

„Windows“ platformose (IIS, nuotolinio darbalaukio paslaugos ir kt.) labai dažnai prašoma .pfx arba .p12 kuriame yra ir sertifikatas, ir privatusis raktas, ir grandinė. Importavimo vedlys pasirūpina kiekvienos dalies įdėjimu į atitinkamą saugyklą, todėl jums nereikia rūpintis vidinėmis detalėmis.

„Java“ aplinkose („Tomcat“, programos su savo raktų saugykla) yra tokio tipo saugyklos JKS arba PKCS#12Daugeliu atvejų, priklausomai nuo įrankio ir „Java“ versijos, .pfx failas importuojamas tiesiogiai arba .p7b sertifikatai naudojami patikimumo grandinei konfigūruoti raktų saugykloje.

Įsigiję SSL sertifikatą iš trečiosios šalies tiekėjo, galite gauti įvairių failų derinių: CRT + CA failą PEM formatu, .p7b failą su eilute arba net iš anksto paruoštą .pfx failą. Svarbiausia yra nustatyti teisingą failo tipą. Kur yra privatusis raktas? (jei jis pateikiamas su jumis ir nėra generuojamas serverio) ir kuriame faile yra serverio sertifikatas ir tarpinė grandinė.

Prieglobos valdymo skyduose paprastai prašoma užpildyti CRT, KEY ir pasirinktinai CA arba tarpinio sertifikato laukus. Jei turite tik .pfx failą, galite jį konvertuoti į PEM formatą naudodami „OpenSSL“ ir iš ten išskleisti kiekvieną bloką, atsargiai nukopijuodami kiekvieno tipo bloką nuo BEGIN iki END.

Sertifikatų formatų konvertavimas naudojant „OpenSSL“

Kai suprasite, kas yra kiekvienas failas, kitas logiškas žingsnis bus žinoti kaip juos konvertuoti Kai serveris arba programa prašo kitokio formato nei pateiktas jūsų interneto paslaugų teikėjo arba sertifikatų teikėjo, standartinė priemonė tam yra „OpenSSL“, kurią galima rasti daugumoje „Linux“ distribucijų ir įdiegti „Windows“ sistemoje.

Pavyzdžiui, jei turite sertifikatą, DER (.der, .cer) O jei reikia konvertuoti į PEM, pakaks vienos komandos, kuri paima tą dvejetainį failą ir jį perkoduoja į „Base64“ su atitinkamomis antraštėmis. Panašiai galite transformuoti PEM į DER, jei jūsų sistema priima tik dvejetainius failus.

Su PKCS#7 (.p7b) failu galite naudoti OpenSSL, kad išgauti sertifikatus PEM formatu su paprasta komanda, kuri atspausdina esančius sertifikatus ir išsaugo juos tekstiniame faile. Tada galite atskirti skirtingus BEGIN/END CERTIFICATE blokus, jei jums reikia atskirų failų.

PKCS#12 (.pfx, .p12) atveju „OpenSSL“ leidžia konvertuoti konteinerį į PEM failą, kuriame yra privatusis raktas ir visi sertifikatai. Proceso metu jūsų bus paprašyta įvesti konteinerio slaptažodį ir galėsite pasirinkti, ar palikti privatųjį raktą užšifruotą, ar paprasto teksto pavidalu PEM faile, atsižvelgiant į numatytą jo naudojimą.

Šio tipo konvertavimas leidžia atlikti tokius scenarijus kaip .pfx failo įkėlimas į „Linux“ serverį, jo konvertavimas į PEM formatą ir tada atskiras CRT ir KEY užpildyti SSL diegimo formą, kuri tiesiogiai nepalaiko PKCS#12 konteinerių.

Be tiesioginių DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 ir PKCS#12↔PEM konvertavimo, ta pati programa gali generuoti CSR, valdyti raktus, tikrinti sertifikatus ir jų galiojimo datas, todėl tai yra pagrindinė priemonė bet kurioje aplinkoje, kurioje dirbama su sertifikatais.

Skaitmeninių sertifikatų tipai ir jų naudojimo sritys

Be failo formato, taip pat naudinga aiškiai suprasti sertifikatų tipai priklausomai nuo jų naudojimo arba subjekto, kuriam jie atstovauja, tipo, nes tai turi įtakos tam, kaip tvarkomos jų atsarginės kopijos, atnaujinimai ir diegimai.

Europos reguliavimo lygmeniu (eIDAS reglamentas) skiriami šie dalykai: „Paprasti“ elektroniniai sertifikatai ir kvalifikuoti sertifikataiPirmieji atitinka pagrindinius identifikavimo ir išdavimo reikalavimus, o antrieji reikalauja griežtesnių tapatybės patvirtinimo procesų ir griežtesnių techninių bei organizacinių sąlygų iš paslaugų teikėjo. Ryškus pavyzdys būtų elektroninė asmens tapatybės kortelė (DNIe).

Jei pažiūrėsime, kas yra turėtojas, galėsime gauti sertifikatus fizinis asmuo, juridinis asmuo arba subjektas be teisinio subjektiškumoKiekvienas iš jų naudojamas pasirašymui arba autentifikavimui skirtingose ​​srityse: atitinkamai asmeninėms procedūroms, sandoriams įmonės vardu arba mokestinėms prievolėms.

Žiniatinklio serverių pasaulyje geriausiai žinoma sertifikatų šeima yra SSL/TLS sertifikataiŠie sertifikatai įdiegiami serveriuose, siekiant užšifruoti ryšio kanalą su vartotojais. Jie apima tokius variantus kaip vieno domeno, pakaitos simbolių ir kelių domenų (SAN) sertifikatai, kurie skiriasi pagal apimamų vardų skaičių ir jų patvirtinimo lygį.

Nepriklausomai nuo tipo, visi šie sertifikatai gali būti saugomi ir platinami tais pačiais formatais: .cer, .crt, .pem, .p7b failais arba .pfx/.p12 konteineriais, priklausomai nuo sistemos, kurioje jie bus naudojami, ir pasirinkto jų perkėlimo ar atsarginių kopijų kūrimo metodo.

Skaitmeninių sertifikatų naudingumas yra milžiniškas: Jie užtikrina konfidencialumą ir autentiškumą ryšių srityje jie leidžia naudoti teisiškai galiojančius elektroninius parašus, supaprastina administracines ir komercines procedūras ir suteikia galimybę kelioms tinklo paslaugoms saugiai veikti, vartotojui nesijaudinant dėl ​​kriptografinių detalių.

Šiuo metu akivaizdu, kad tokie plėtiniai kaip .pfx, .p12, .cer arba .crt yra tiesiog skirtingi to paties dalyko pakavimo būdai: X.509 sertifikatas, privatusis raktas ir, jei taikoma, pasitikėjimo grandinė, kurie, priklausomai nuo aplinkos, pateikiami kaip Base64 tekstas, DER dvejetainis kodas arba PKCS konteineriai, siekiant palengvinti diegimą ir diegimą. transportavimas tarp sistemų.