Detalizēti izskaidrotas atšķirības starp .pfx, .p12, .cer un .crt failiem

Ja esat ieradies šeit, meklējot Atšķirības starp .pfx, .p12, .cer un .crt failiemInstalējot digitālo sertifikātu vai SSL serverī, jūs droši vien jau esat saskāries ar vairāk nekā vienu dīvainu failu. Jūs neesat viens: starp akronīmiem, paplašinājumiem un formātiem ir viegli apjukt un nezināt, ko dara katrs fails vai kurš no tiem jums ir nepieciešams katrā gadījumā.

Labā ziņa ir tā, ka, lai gan nosaukumi var šķist biedējoši, to visu var izskaidrot pavisam vienkārši, ja saprotam, ka visi šie faili nav nekas vairāk kā sertifikātu un atslēgu konteineri dažādos formātos (teksta vai binārā formātā) un paredzēti dažādām sistēmām (Windows, Linux(Java, pārlūkprogrammas utt.). Mēs tos mierīgi apskatīsim pa vienam un saistīsim vienu ar otru, lai jūs precīzi zinātu, kas katra lieta ir, kam tā paredzēta un kā to izmantot vai konvertēt, kad tas nepieciešams.

Kas ir digitālais sertifikāts un kā .pfx, .p12, .cer un .crt faili sader kopā?

Digitālais sertifikāts nav nekas vairāk kā sertifikācijas iestādes parakstīts elektronisks dokuments (CA jeb saskaņā ar eIDAS regulu — kvalificēts pakalpojumu sniedzējs), kas saista identitāti ar publisko atslēgu. Šī identitāte var būt persona, uzņēmums, tīmekļa serveris, domēns utt.

Lai izveidotu šo savienojumu, tiek izmantots šāds savienojums: publiskās atslēgas vai asimetriskā kriptogrāfijaPastāv atslēgu pāris: publiskā atslēga (ko var zināt ikviens) un privātā atslēga (kas būtu jāzina tikai īpašniekam). To, kas ir šifrēts ar publisko atslēgu, var atšifrēt tikai ar privāto atslēgu, un otrādi, kas ļauj veikt autentifikāciju, šifrēšanu un elektroniskos parakstus.

Aiz visiem šiem sertifikātiem slēpjas publiskās atslēgas infrastruktūra jeb PKIkas ietver sertifikācijas iestādi, reģistrācijas iestādes, sertifikātu krātuves, sertifikātu atsaukšanas sarakstus (CRL) un daudzās vidēs laika zīmoga iestādi (TSA), lai reģistrētu, kad kaut kas ir parakstīts.

Lielākā daļa vispārējas nozīmes sertifikātu atbilst standartam. X.509, ko definējusi ITU un detalizēti aprakstīta RFC 5280. Šajā standartā ir definēti tādi lauki kā versija, sērijas numurs, paraksta algoritms, izdevējs, derīguma termiņš, subjekts, turētāja publiskā atslēga un iespējamie papildu paplašinājumi.

Attiecībā uz algoritmiem sertifikāti parasti izmanto asimetrisku kriptogrāfiju ar RSA, DSA vai ECDSARSA un ECDSA kalpo gan parakstīšanai, gan šifrēšanai, savukārt DSA koncentrējas uz digitālā paraksta parakstīšanu un verifikāciju.

Iekšējie formāti un paplašinājumi: PEM, DER, CER, CRT un uzņēmums

Kad mēs runājam par tādiem paplašinājumiem kā .cer, .crt, .pem, .der, .pfx, .p12 vai .p7bPatiesībā mēs jaucam divus jēdzienus: sertifikāta kodēšanas formātu (Base64 teksts vai binārs) un faila funkciju (tikai sertifikāts, sertifikāts + privātā atslēga, sertifikātu ķēde utt.).

Iekšējā formāta līmenī X.509 sertifikāti tiek attēloti ar ASN.1 un parasti tiek kodēti ar DER (bināro) vai tā tekstuālo variantu PEM (DER tiek konvertēts uz Base64 un ietverts ar galvenēm, piemēram, SĀKUMS/BEIGAS). Pēc tam ir definētas dažādas sistēmas un standarti. specifiski konteineri piemēram, PKCS#7 (.p7b) vai PKCS#12 (.pfx, .p12).

Lai izvairītos no neskaidrībām, ir jāatceras, ka faila paplašinājums bieži vien ir tikai viens nosaukumu konvencija.cer fails vai .crt fails var saturēt tieši vienu un to pašu, tikai viens tiek vairāk izmantots Windows vidē, bet otrs — Unix/Linux vidē, lai minētu piemēru.

Šajā vispārīgajā grupā ir daži galvenie formāti Ir svarīgi tos skaidri saprast, jo ar tiem jūs saskarsieties visu laiku, strādājot ar SSL/TLS vai personīgajiem sertifikātiem.

PEM formāts: sertifikātu “lasāmais teksts”

PEM formāts ir visizplatītākais SSL/TLS sertifikātiem tādos serveros kā Apache vai Nginx un lielākajā daļā drošības rīku. PEM fails ir vienkārši DER pārkodēts Base64 formātā un ietverts teksta galvenēskas ļauj to atvērt un kopēt ar jebkuru redaktoru (Notepad, nano, vim utt.).

PEM tiek atpazīts, jo tā saturu norobežo līnijas, piemēram, —–SERTIFIKĀTA SĀKŠANA—– y —–BEIGU SERTIFIKĀTS—– ja tajā ir sertifikāts vai —–SĀKT PRIVĀTO ATSLĒGU—– y —–BEIGT PRIVĀTO ATSLĒGU—– ja tajā ir privāta atslēga. Viss pa vidu ir Base64 virkne, kas attēlo sākotnējos bināros datus.

Vienā PEM failā var būt tikai sertifikātsVar tikt piegādāts sertifikāts kopā ar starpposma sertificēšanas ķēdi, privātā atslēga atsevišķi vai pat viss komplekts (privātā atslēga, servera sertifikāts, starpposma sertifikāti un saknes sertifikāts). Sertifikātu parakstīšanas pieprasījumi tiek sniegti arī PEM formātā. USAkas nav nekas vairāk kā PKCS#10 struktūras, kas pārkodētas tekstā.

Šis formāts sākotnēji tika definēts RFC 1421–1424 kā daļa no privātuma uzlabotā elektroniskā pasta projekta, kas neguva popularitāti e-pastā, bet atstāja lielisku teksta formātu. kriptogrāfisko datu transportēšana ērtā, salasāmā un viegli kopējamā/ielīmējamā formātā.

Praksē faili ar paplašinājumiem .pem, .crt, .cer vai .key Unix/Linux sistēmās tie parasti ir PEM faili. Parasti .key satur privāto atslēgu, .crt vai .cer satur servera sertifikātu, un dažreiz papildu PEM fails ietver starpposma CA ķēdi.

DER formāts: tīrs un vienkāršs binārais fails

DER (atšķirīgie kodēšanas noteikumi) ir binārā kodēšanas formāts no ASN.1 struktūrām, kas apraksta X.509 sertifikātu. Tas nav teksts, tāpēc, atverot to ar redaktoru, tipiskās Base64 virknes vietā redzēsiet dīvainas rakstzīmes.

DER fails var saturēt jebkura veida sertifikāts vai privātā atslēgaTo parasti identificē ar paplašinājumiem .der vai .cer, īpaši Windows vidē vai Java platformās. Operētājsistēmā Windows .der fails tiek tieši atpazīts kā sertifikāta fails un, veicot dubultklikšķi, tiek atvērts vietējā skatītājā.

Praktiskā atšķirība ar PEM ir tāda, ka, lai gan PEM var viegli kopēt un nosūtīt pa e-pastu vai ielīmēt tīmekļa veidlapās, DER ir slēgts binārs bloks Paredzēts tiešai lietošanai lietojumprogrammās. Tomēr iekšēji informācija ir tāda pati: PEM nav nekas vairāk kā DER, kas pārkodēts Base64 tekstā.

Tādi rīki kā OpenSSL ļauj pārslēgties no DER uz PEM un otrādi ar vienu komandu, nemainot sertifikāta loģisko saturu, tikai tā attēlojuma formu.

.cer un .crt paplašinājumi: viens un tas pats suns ar atšķirīgu kakla siksnu

Paplašinājumi .cer un .crt tiek izmantoti, lai apzīmētu faili, kas satur publiskos sertifikātus, parasti PEM vai DER formātā, atkarībā no sistēmas, kurā tie tiek ģenerēti vai instalēti.

Dažos gadījumos .crt fails Apache serverī būs sertificēts PEM jomā ieskauj BEGIN/END CERTIFICATE galvenes un ir gatavs ielīmēšanai konfigurācijas blokā. Operētājsistēmā Windows .cer fails var būt PEM vai DER formātā, lai gan parasti tas ietilpst jebkurā no šīm kategorijām atkarībā no rīka, kas to ģenerēja.

Svarīgi saprast, ka paplašinājums stingri nenosaka iekšējo formātu: .cer fails var būt PEM teksta vai DER binārais fails, un skatītājs vai utilīta, piemēram, OpenSSL, noteiks, kā to nolasīt. Pārlūkprogrammās un Windows sistēmās, veicot dubultklikšķi, tiks atvērts... sertifikātu skatītājskur var redzēt izdevēju, tēmu, derīguma termiņus, atslēgas lietojumu utt.

Eksportējot sertifikātu bez privātās atslēgas no pārlūkprogrammas vai Windows sertifikātu krātuves, parasti tiek iegūts .cer fails, kas tiek izmantots validēt parakstus, uzticamības ķēdes vai šifrēt informācijubet nekad neparakstīt īpašnieka vārdā (tam nepieciešama privātā atslēga, kas atrodas atsevišķi vai aizsargātā konteinerā).

CSR, KEY, CA un starpposma faili: citi sertifikātam pievienotie faili

Apstrādājot SSL sertifikātu vai personīgo sertifikātu, jūs redzēsiet ne tikai .pfx, .p12 vai .cer failus. Viss process ietver arī tādus failus kā .csr, .key vai CA sertifikāti (sakne un starpprodukti), kas ir vienlīdz svarīgi, lai viss darbotos.

Paraksta pieprasījums vai Klientu apkalpošanas ziņojums (.csr) Tas ir fails, ko parasti ģenerējat serverī, kurā tiks instalēts SSL sertifikāts. Tajā ir ietverta publiskā atslēga, domēna nosaukums, organizācija, valsts un cita informācija, ko sertifikācijas iestāde izmantos sertifikāta izsniegšanai. Tas atbilst PKCS#10 standartam un parasti ir kodēts PEM formātā, lai to varētu kopēt un ielīmēt pakalpojumu sniedzēja veidlapā.

Privātā atslēga vai ATSLĒGA (.atslēga) Šajā failā tiek glabāta ar sertifikātu saistītā slepenā atslēga. Tas parasti ir PEM formātā, ko atdala BEGIN PRIVATE KEY un END PRIVATE KEY. Tas ir ārkārtīgi sensitīvs fails, kuru nedrīkst koplietot vai augšupielādēt publiskās krātuvēs, un daudzos gadījumos tas ir papildus aizsargāts ar paroli.

Lieta SI vai pilnvarojuma sertifikāts Tajā ir ietverta sertifikātu izsniedzošās vai nododošās entītijas publiskā atslēga. Pārlūkprogrammas un OS Tiem ir pievienots uzticamo sertifikācijas iestāžu noklusējuma saraksts, taču dažreiz ir jāinstalē starpposma sertifikāti, lai pabeigtu uzticības ķēdi un klienti varētu validēt servera sertifikātu bez kļūdām.

Šos starpposma sertifikātus var piegādāt kā PEM failus (.pem, .crt, .cer) vai konteinerā, piemēram, .p7bHostinga konfigurācijās ļoti bieži tiek prasīti CRT (domēna sertifikāta), KEY (privātās atslēgas) un CA vai starpposma sertifikāta faili, lai pareizi instalētu SSL.

PKCS#7 / P7B: sertifikātu ķēde bez privātās atslēgas

PKCS#7, parasti attēlots ar paplašinājumiem .p7b vai .p7cTas ir formāts, kas paredzēts viena vai vairāku sertifikātu grupēšanai strukturētā konteinerā, neiekļaujot privāto atslēgu. To parasti izmanto izplatīt sertifikātu ķēdes (servera sertifikāts plus starpposma sertifikāti) Windows vai Java vidēs (Tomcat, atslēgu krātuve utt.).

.p7b fails parasti tiek kodēts Base64 ASCII formātā, līdzīgi kā PEM fails, un sākotnēji tas tika definēts RFC 2315 kā daļa no publiskās atslēgas kriptogrāfijas standartiem. Mūsdienās tā pēctecis ir CMS (kriptogrāfisko ziņojumu sintakse), taču nosaukums PKCS#7 joprojām tiek plaši izmantots SSL sertifikātu pasaulē.

Šis formāts ir ļoti noderīgs, kad nepieciešams instalēt visu uzticības ķēdi serverī vai sistēmā, kas pārvalda sertifikātus, izmantojot krātuvi (piemēram, Java atslēgu krātuvi). Parasti SSL pakalpojumu sniedzējs piegādās servera sertifikātu, no vienas puses, un .p7b failu ar visu CA ķēdi, no otras puses, vai arī vienu .p7b failu, kas satur visu.

Ja vēlaties konvertēt .p7b failu uz PEM, tādi rīki kā OpenSSL ļauj iegūt sertifikātus ar vienu komandu un saglabāt tos vienā vai vairākos teksta failos. Pēc tam varat atdalīt BEGIN/END CERTIFICATE blokus, ja tie ir jāaugšupielādē serverī atsevišķi.

Ir svarīgi atzīmēt, ka PKCS#7 fails nekad nesatur privāto atslēguTāpēc pats par sevi tas nav noderīgs parakstīšanai vai atšifrēšanai: tas nodrošina tikai sertifikātu ķēdes publisko daļu uzticamības validēšanai.

PKCS#12: Kas īsti ir .pfx un .p12?

PKCS#12 standarts definē ar paroli aizsargātu bināro konteineru, kas var ietvert publiskie sertifikāti, pilnīgas sertifikācijas ķēžu ķēdes un privātā atslēga saistīts. Visizplatītākie šī formāta paplašinājumi ir .pfx un .p12, kas praktiski ir līdzvērtīgi.

Vēsturiski PKCS#12 sākotnēji bija formāts, kas bija cieši saistīts ar Microsoft, taču ar el tiempo Tas tika standartizēts RFC 7292 un mūsdienās tiek izmantots visu veidu sistēmās tieši tāpēc, ka tas ļauj droši transportēt sertifikātu + privāto atslēgu pāri no vienas komandas uz otru.

Windows vidē, eksportējot "privātās atslēgas" sertifikātu no lietotāja vai datora sertifikātu krātuves, vednis ģenerē .pfx (vai .p12) failu, kurā ir viss nepieciešamais, lai to importētu citā sistēmā: privātā atslēga, sertifikāta turētājs un parasti arī starpposma ķēde.

PKCS#12 faila izveides vai eksportēšanas laikā sistēma lūgs norādīt paroles aizsardzībaŠī parole būs nepieciešama vēlāk, lai importētu failu citā pārlūkprogrammā, IIS, e-pasta klientā vai pat citā operētājsistēmā. Tādā veidā, ja kāds nozog .pfx failu, viņš to nevarēs izmantot, nezinot šo paroli.

Tādi rīki kā OpenSSL ļauj konvertēt .pfx vai .p12 failu uz PEM, tādējādi iegūstot teksta failu, kurā var viegli atrast privātās atslēgas bloku, servera sertifikātu un starpposma sertifikātus un kopēt tos atbilstošā vietā (piemēram, mitināšanas panelī, kas atsevišķi pieņem tikai CRT, KEY un CA).

.pfx un .p12 sertifikātu atjaunošana, eksports un imports

Personisko sertifikātu jomā (piemēram, FNMT vai citu iestāžu izsniegtu identifikācijas nolūkos) to dublēšanas un atjaunošanas veids ir cieši saistīts ar izmantošanu. .pfx vai .p12 faili, kas pārvietojas ar kriptogrāfiskām kartēm, žetoniem USB vai tieši kā aizsargātus failus datorā.

Ja jūsu personas apliecības derīguma termiņš vēl nav beidzies, daudzas iestādes to atļauj. Atjaunojiet to tiešsaistēatjaunošana tiek iespējota no reģistrācijas punkta (profesionālā asociācija, uzņēmums, sertifikācijas pakalpojumu sniedzējs utt.), un jūs pa e-pastu saņemat saiti, lai pabeigtu procesu no sava datora.

Tomēr, ja sertifikāta derīguma termiņš jau ir beidzies, parasti tas būs jādara apmeklēt klātienē Dodieties uz to pašu reģistrācijas punktu ar savu kriptogrāfisko karti vai ierīci, kurā tiek glabāts beidzies sertifikāts, identificējiet sevi un pieprasiet jaunu izdošanu, kuru varat eksportēt .pfx vai .p12 formātā, lai importētu to, kur vien nepieciešams.

Pārlūkprogrammās, piemēram, Edge vai ChromeImportēšanas process notiek, izmantojot Windows sertifikātu krātuveNo konfidencialitātes un drošības iestatījumiem varat atvērt sertifikātu pārvaldnieku, atlasīt cilni Personiskie un importēt .pfx vai .p12 failu. Vednis pieprasīs konteinera paroli un piedāvās atzīmēt atslēgu kā eksportējamu turpmākajām dublējumkopijām.

Ja .pfx faila vietā jums ir .cer fails bez privātās atslēgas (sertifikāta ikona bez atslēgas), šis fails ir noderīgs tikai šādiem mērķiem: instalēt publisko sertifikātu (tas parādās sadaļā “Citas personas”), bet ne parakstīšanai vai autentifikācijai. Šādā gadījumā jūs nevarēsiet izgūt privāto atslēgu no turienes, un, ja jums nav citas derīgas kopijas, vienīgā iespēja būs pieprasīt jaunu sertifikātu.

Kā šie formāti tiek izmantoti servera SSL sertifikātos

Ikdienas darbā ar tīmekļa serveriem, VPNNeatkarīgi no tā, vai tiek izmantoti starpniekserveri vai Java lietojumprogrammas, dažādie sertifikātu formāti ir atkarīgi no sistēmas un instalācijas veida. Apache iestatīšana operētājsistēmā Linux nav tas pats, kas IIS iestatīšana operētājsistēmā Windows vai Tomcat iestatīšana operētājsistēmā Java.

Unix/Linux vidēs (Apache, Nginx, HAProxy utt.) ir normāli strādāt ar PEM faili atsevišķi faili: viens privātajai atslēgai (.key), otrs servera sertifikātam (.crt vai .cer) un dažreiz vēl viens ar starpposma CA virkni. Uz visiem šiem failiem ir atsauces servera konfigurācijā, lai izveidotu TLS.

Windows platformās (IIS, attālās darbvirsmas pakalpojumi utt.) ļoti bieži tiek prasīts .pfx vai .p12 kas satur gan sertifikātu, gan privāto atslēgu un ķēdi. Importēšanas vednis rūpējas par katras daļas ievietošanu atbilstošajā krātuvē, tāpēc jums nav jāuztraucas par iekšējām detaļām.

Java vidēs (Tomcat, lietojumprogrammās ar savu atslēgu krātuvi) šāda veida krātuves JKS vai PKCS#12Daudzos gadījumos atkarībā no rīka un Java versijas uzticības ķēdes konfigurēšanai atslēgu krātuvē tiek importēts tieši .pfx fails vai arī tiek izmantoti .p7b sertifikāti.

Iegādājoties SSL sertifikātu no trešās puses pakalpojumu sniedzēja, jūs varat saņemt dažādas failu kombinācijas: CRT + CA failu PEM formātā, .p7b failu ar virkni vai pat iepriekš sagatavotu .pfx failu. Svarīgi ir noteikt pareizo faila tipu. Kur ir privātā atslēga? (ja tas nāk līdzi un to neģenerē serveris) un kurā failā ir servera sertifikāts un starpposma ķēde.

Hostinga vadības paneļos parasti tiks lūgts aizpildīt CRT, KEY un pēc izvēles CA vai starpposma sertifikāta laukus. Ja jums ir tikai .pfx fails, varat to konvertēt uz PEM, izmantojot OpenSSL, un no turienes izvilkt katru bloku, rūpīgi kopējot katru veidu no BEGIN uz END.

Sertifikātu formātu konvertēšana, izmantojot OpenSSL

Kad esat sapratis, kas ir katrs fails, nākamais loģiskais solis ir zināt kā tos pārvērst Kad serveris vai lietojumprogramma pieprasa formātu, kas atšķiras no jūsu interneta pakalpojumu sniedzēja vai sertifikāta nodrošinātā formāta, standarta rīks šim nolūkam ir OpenSSL, kas ir pieejams lielākajā daļā Linux distribūciju un instalējams arī operētājsistēmā Windows.

Piemēram, ja jums ir sertifikāts DER (.der, .cer) Un, ja jums tas ir jāpārveido uz PEM, pietiks ar vienu komandu, kas paņem šo bināro failu un pārkodē to uz Base64 ar atbilstošajām galvenēm. Līdzīgi jūs varat pārveidot PEM failu uz DER, ja jūsu sistēma pieņem tikai bināro failu.

Ar PKCS#7 (.p7b) failu varat izmantot OpenSSL, lai izvilkt sertifikātus PEM formātā ar vienkāršu komandu, kas izdrukā ietvertos sertifikātus un saglabā tos teksta failā. Pēc tam jūs varat atdalīt dažādos BEGIN/END CERTIFICATE blokus, ja jums ir nepieciešami atsevišķi faili.

PKCS#12 (.pfx, .p12) gadījumā OpenSSL ļauj konvertēt konteineru uz PEM failu, kurā ir privātā atslēga un visi sertifikāti. Procesa laikā jums tiks lūgts ievadīt konteinera paroli, un jūs varēsiet izvēlēties, vai atstāt privāto atslēgu šifrētu vai vienkārša teksta veidā PEM failā atkarībā no tā paredzētā lietojuma.

Šāda veida konvertēšana ļauj veikt tādus scenārijus kā .pfx faila augšupielāde Linux serverī, tā konvertēšana uz PEM un pēc tam atsevišķs CRT un KEY lai aizpildītu SSL instalēšanas veidlapu, kas tieši neatbalsta PKCS#12 konteinerus.

Papildus tiešajām DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 un PKCS#12↔PEM konvertācijām, šī pati utilīta var ģenerēt CSR, pārvaldīt atslēgas, pārbaudīt sertifikātus un derīguma termiņus, padarot to par pamata rīku jebkurā vidē, kas darbojas ar sertifikātiem.

Digitālo sertifikātu veidi un to lietošanas jomas

Papildus faila formātam ir noderīgi arī skaidri saprast sertifikātu veidi atkarībā no to lietojuma vai pārstāvētās vienības veida, jo tas ietekmē to dublējumu, atjaunošanas un instalāciju pārvaldību.

Eiropas regulatīvajā līmenī (eIDAS regula) tiek nošķirti "Vienkārši" elektroniskie sertifikāti un kvalificēti sertifikātiPirmie atbilst pamata identifikācijas un izsniegšanas prasībām, savukārt pēdējie pieprasa stingrākus identitātes verifikācijas procesus un stingrākus tehniskos un organizatoriskos nosacījumus no pakalpojumu sniedzēja puses. Spilgts piemērs būtu elektroniskā personas apliecība (DNIe).

Ja mēs aplūkojam, kas ir turētājs, mēs varam iegūt sertifikātus par fiziska persona, juridiska persona vai subjekts bez juridiskas personas statusaKatrs no tiem tiek izmantots parakstīšanai vai autentifikācijai dažādās jomās: attiecīgi personīgās procedūrās, darījumos uzņēmuma vārdā vai nodokļu saistībās.

Tīmekļa serveru pasaulē vispazīstamākā sertifikātu saime ir SSL/TLS sertifikātiŠie sertifikāti tiek instalēti serveros, lai šifrētu saziņas kanālu ar lietotājiem. Tie ietver tādus variantus kā viena domēna, aizstājējzīmju un vairāku domēnu (SAN) sertifikāti, kas atšķiras pēc aptverto vārdu skaita un validācijas līmeņa.

Neatkarīgi no veida, visi šie sertifikāti var tikt glabāti un izplatīti vienādos formātos: .cer, .crt, .pem, .p7b failos vai .pfx/.p12 konteineros atkarībā no sistēmas, kurā tie tiks izmantoti, un izvēlētās metodes to transportēšanai vai dublēšanai.

Digitālo sertifikātu lietderība ir milzīga: Tie nodrošina konfidencialitāti un autentiskumu sakaru jomā tie nodrošina juridiski derīgus elektroniskos parakstus, vienkāršo administratīvās un komerciālās procedūras un ļauj vairākiem tīkla pakalpojumiem droši darboties, lietotājam neuztraucoties par kriptogrāfiskām detaļām.

Šajā brīdī ir skaidrs, ka tādi paplašinājumi kā .pfx, .p12, .cer vai .crt ir vienkārši dažādi veidi, kā iepakot vienu un to pašu lietu: X.509 sertifikātu, privāto atslēgu un, attiecīgā gadījumā, uzticības ķēdi, kas atkarībā no vides tiek attēloti kā Base64 teksts, DER binārais fails vai PKCS konteineri, lai atvieglotu instalēšanu un izvietošanu. transports starp sistēmām.