Perbezaan antara .pfx, .p12, .cer dan .crt dijelaskan secara terperinci

Jika anda datang ke sini untuk mencari Perbezaan antara .pfx, .p12, .cer dan .crtAnda mungkin pernah menemui lebih daripada satu fail pelik semasa memasang sijil digital atau SSL pada pelayan. Anda tidak keseorangan: antara akronim, sambungan dan format, mudah untuk keliru dan tidak tahu apa yang dilakukan oleh setiap fail atau yang mana satu yang anda perlukan dalam setiap kes.

Berita baiknya ialah, walaupun namanya mungkin kelihatan menakutkan, semua ini boleh dijelaskan dengan agak mudah jika kita faham bahawa semua fail ini tidak lebih daripada sijil dan bekas kunci dalam format berbeza (teks atau binari) dan direka bentuk untuk sistem berbeza (Windows, Linux(Java, pelayar, dll.). Kita akan melihatnya satu persatu, dengan tenang, dan mengaitkannya antara satu sama lain supaya anda tahu dengan tepat apa itu setiap perkara, untuk apa ia, dan cara menggunakan atau menukarnya apabila perlu.

Apakah itu sijil digital dan bagaimanakah .pfx, .p12, .cer dan .crt sesuai bersama?

Sijil digital tidak lebih daripada sekadar dokumen elektronik yang ditandatangani oleh Pihak Berkuasa Pensijilan (CA atau, mengikut peraturan eIDAS, Penyedia Perkhidmatan Berkelayakan) yang menghubungkan identiti kepada kunci awam. Identiti tersebut boleh jadi orang, syarikat, pelayan web, domain, dsb.

Untuk mencapai sambungan ini, perkara berikut digunakan: kriptografi kunci awam atau asimetriTerdapat sepasang kunci: kunci awam (yang sesiapa sahaja boleh tahu) dan kunci persendirian (yang hanya pemiliknya sahaja yang perlu ada). Apa yang disulitkan dengan kunci awam hanya boleh dinyahsulit dengan kunci persendirian, dan sebaliknya, yang membolehkan pengesahan, penyulitan dan tandatangan elektronik.

Di sebalik semua sijil ini terdapat infrastruktur kunci awam atau PKIyang merangkumi pihak berkuasa pensijilan, pihak berkuasa pendaftaran, repositori sijil, senarai pembatalan sijil (CRL) dan, dalam banyak persekitaran, pihak berkuasa cap waktu (TSA) untuk merekodkan bila sesuatu ditandatangani.

Struktur dalaman sebahagian besar sijil tujuan umum mematuhi piawaian X.509, ditakrifkan oleh ITU dan diterangkan secara terperinci dalam RFC 5280. Piawaian ini mentakrifkan medan seperti versi, nombor siri, algoritma tandatangan, penerbit, tempoh sah laku, subjek, kunci awam pemegang dan kemungkinan sambungan tambahan.

Berkenaan algoritma, sijil biasanya menggunakan kriptografi asimetri dengan RSA, DSA atau ECDSARSA dan ECDSA berfungsi untuk kedua-dua tandatangan dan penyulitan, manakala DSA memberi tumpuan kepada tandatangan dan pengesahan tandatangan digital.

Format dan sambungan dalaman: PEM, DER, CER, CRT dan syarikat

Apabila kita bercakap tentang sambungan seperti .cer, .crt, .pem, .der, .pfx, .p12 atau .p7bPada hakikatnya, kita mencampurkan dua konsep: format pengekodan sijil (teks Base64 atau binari) dan fungsi yang dimiliki oleh fail tersebut (sijil sahaja, sijil + kunci peribadi, rantaian sijil, dll.).

Pada peringkat format dalaman, sijil X.509 diwakili dengan ASN.1 dan biasanya dikodkan dengan DER (binari) atau varian tekstualnya PEM (DER ditukar kepada Base64 dan dibalut dengan pengepala seperti MULA/TAMATDari situ, pelbagai sistem dan piawaian telah ditakrifkan bekas tertentu seperti PKCS#7 (.p7b) atau PKCS#12 (.pfx, .p12).

Kunci untuk mengelakkan kekeliruan adalah dengan mengingati bahawa sambungan fail selalunya hanya satu konvensyen penamaanFail .cer atau fail .crt boleh mengandungi perkara yang sama, hanya satu digunakan lebih banyak dalam Windows dan satu lagi dalam persekitaran Unix/Linux, sebagai contoh.

Dalam kumpulan umum ini, terdapat beberapa format utama Ini penting untuk difahami dengan jelas kerana ia adalah perkara yang akan anda temui sepanjang masa apabila menggunakan SSL/TLS atau sijil peribadi.

Format PEM: "teks yang boleh dibaca" bagi sijil

Format PEM setakat ini adalah yang paling biasa untuk sijil SSL/TLS pada pelayan seperti Apache atau Nginx dan dalam kebanyakan alat keselamatan. Fail PEM hanyalah DER dikod semula dalam Base64 dan dikelilingi oleh pengepala teksyang membolehkan anda membuka dan menyalinnya dengan mana-mana editor (Notepad, nano, vim, dll.).

PEM dikenali kerana kandungannya dihadkan oleh baris seperti —–SIJIL MULA—– y —–SIJIL TAMAT—– apabila ia mengandungi sijil, atau —–MULAKAN KUNCI PERSENDIRIAN—– y —–TAMAT KUNCI PERSENDIRIAN—– apabila ia mengandungi kunci persendirian. Semua yang ada di antaranya ialah rentetan Base64 yang mewakili data binari asal.

Dalam satu fail PEM anda boleh mempunyai hanya sijil sahajaSijil serta rantaian CA perantaraan, kunci persendirian secara berasingan atau keseluruhan pakej (kunci persendirian, sijil pelayan, sijil perantaraan dan sijil akar) boleh dibekalkan. Permintaan penandatanganan sijil juga disediakan dalam PEM. CSRyang tidak lebih daripada struktur PKCS#10 yang dikodkan semula ke dalam teks.

Format ini pada asalnya ditakrifkan dalam RFC 1421-1424 sebagai sebahagian daripada projek Mel Elektronik yang Dipertingkatkan Privasi, yang tidak popular untuk e-mel, tetapi meninggalkan format teks yang sangat baik untuk pengangkutan data kriptografi dalam format yang selesa, mudah dibaca dan mudah disalin/tampal.

Dalam praktiknya, fail dengan sambungan .pem, .crt, .cer atau .key Dalam sistem Unix/Linux, ia biasanya fail PEM. Biasanya, .key mengandungi kunci persendirian, .crt atau .cer mengandungi sijil pelayan, dan kadangkala fail PEM tambahan termasuk rantaian CA perantaraan.

Format DER: binari tulen dan ringkas

DER (Peraturan Pengekodan Terkenal) ialah format pengekodan binari bagi struktur ASN.1 yang menerangkan sijil X.509. Ia bukan teks, jadi jika anda membukanya dengan editor, anda akan melihat aksara pelik dan bukannya rentetan Base64 biasa.

Fail DER boleh mengandungi sebarang jenis sijil atau kunci persendirianIa biasanya dikenal pasti melalui sambungan .der atau .cer, terutamanya dalam persekitaran Windows atau pada platform Java. Pada Windows, fail .der dikenali secara langsung sebagai fail sijil dan dibuka dengan pemapar natif apabila diklik dua kali.

Perbezaan praktikal dengan PEM ialah, walaupun PEM boleh disalin dan diemel atau ditampal dengan mudah ke dalam borang web, DER ialah gumpalan binari tertutup Direka untuk penggunaan langsung oleh aplikasi. Walau bagaimanapun, secara dalaman, maklumatnya adalah sama: PEM tidak lebih daripada DER yang dikodkan semula ke dalam teks Base64.

Alat seperti OpenSSL membolehkan anda bertukar daripada DER kepada PEM dan sebaliknya dengan satu arahan, tanpa mengubah kandungan logik sijil sama sekali, hanya bentuk perwakilannya.

Sambungan .cer dan .crt: anjing yang sama dengan kolar yang berbeza

Sambungan .cer dan .crt digunakan untuk menetapkan fail yang mengandungi sijil awam, biasanya dalam format PEM atau DER, bergantung pada sistem tempat ia dijana atau dipasang.

Dalam kes tertentu, fail .crt pada pelayan Apache akan menjadi diperakui dalam PEM dikelilingi oleh pengepala BEGIN/END CERTIFICATE dan sedia untuk ditampal ke dalam blok konfigurasi. Dalam Windows, fail .cer boleh jadi sama ada PEM atau DER, walaupun ia biasanya termasuk dalam mana-mana kategori bergantung pada alat yang menghasilkannya.

Perkara penting yang perlu difahami ialah sambungan tersebut tidak menentukan format dalaman secara ketat: fail .cer boleh menjadi teks PEM atau binari DER, dan pemapar atau utiliti seperti OpenSSL akan menentukan cara membacanya. Dalam pelayar dan sistem Windows, klik dua kali akan membuka... pemapar sijildi mana anda boleh melihat penerbit, subjek, tarikh sah laku, penggunaan kunci, dsb.

Apabila anda mengeksport sijil tanpa kunci peribadi daripada pelayar atau gedung sijil Windows, anda biasanya akan mendapat fail .cer, yang digunakan untuk sahkan tandatangan, rantaian amanah atau sulitkan maklumattetapi jangan sesekali menandatangani bagi pihak pemilik (untuk itu anda memerlukan kunci persendirian, yang berasingan atau di dalam bekas yang dilindungi).

Fail CSR, KEY, CA dan perantaraan: fail lain yang disertakan dengan sijil

Apabila anda memproses sijil SSL atau sijil peribadi, anda bukan sahaja akan melihat fail .pfx, .p12 atau .cer. Keseluruhan proses ini juga melibatkan fail seperti Sijil .csr, .key atau CA (akar dan perantaraan), yang sama pentingnya agar semuanya berfungsi.

Permintaan tandatangan atau CSR (.csr) Ia merupakan fail yang biasanya anda jana pada pelayan tempat sijil SSL akan dipasang. Ia mengandungi kunci awam, nama domain, organisasi, negara dan maklumat lain yang akan digunakan oleh pihak berkuasa sijil untuk mengeluarkan sijil. Ia mematuhi piawaian PKCS#10 dan biasanya dikodkan dalam PEM supaya anda boleh menyalin dan menampalnya ke dalam borang pembekal.

Kunci persendirian atau KUNCI (.key) Ini adalah fail tempat kunci rahsia yang berkaitan dengan sijil disimpan. Ia biasanya dalam format PEM, dipisahkan oleh BEGIN PRIVATE KEY dan END PRIVATE KEY. Ia adalah fail yang sangat sensitif yang tidak boleh dikongsi atau dimuat naik ke repositori awam, dan dalam banyak kes, ia juga dilindungi kata laluan.

Fail dari CA atau sijil kuasa Ia mengandungi kunci awam entiti yang mengeluarkan atau menjadi perantara sijil. Pelayar dan OS Ia didatangkan dengan senarai lalai CA yang dipercayai, tetapi kadangkala anda perlu memasang sijil perantaraan untuk melengkapkan rantaian kepercayaan supaya klien boleh mengesahkan sijil pelayan anda tanpa ralat.

Sijil perantaraan ini boleh dibekalkan sebagai fail PEM (.pem, .crt, .cer) atau dalam bekas seperti .p7bDalam konfigurasi hosting, adalah perkara biasa untuk diminta fail CRT (sijil domain), KEY (kunci peribadi) dan CA atau fail sijil perantaraan untuk memasang SSL dengan betul.

PKCS#7 / P7B: rantaian sijil tanpa kunci peribadi

PKCS#7, biasanya diwakili dengan sambungan .p7b atau .p7cIa merupakan format yang direka untuk mengumpulkan satu atau lebih sijil ke dalam bekas berstruktur, tanpa memasukkan kunci persendirian. Ia biasanya digunakan untuk mengedarkan rantaian sijil (sijil pelayan dan sijil perantaraan) dalam persekitaran Windows atau Java (Tomcat, keystore, dll.).

Fail .p7b biasanya dikodkan dalam Base64 ASCII, serupa dengan fail PEM, dan pada asalnya ditakrifkan dalam RFC 2315 sebagai sebahagian daripada piawaian kriptografi kunci awam. Hari ini, penggantinya ialah CMS (Sintaks Mesej Kriptografi), tetapi nama PKCS#7 masih digunakan secara meluas dalam dunia sijil SSL.

Format ini sangat berguna apabila anda memerlukannya pasang keseluruhan rantaian kepercayaan pada pelayan atau dalam sistem yang mengurus sijil melalui stor (contohnya, stor kunci Java). Biasanya, penyedia SSL akan menghantar sijil pelayan di satu pihak dan fail .p7b dengan keseluruhan rantaian CA di pihak yang lain, atau satu fail .p7b yang mengandungi semuanya.

Jika anda ingin menukar fail .p7b kepada PEM, alat seperti OpenSSL membolehkan anda mengekstrak sijil dengan satu arahan dan menyimpannya ke satu atau lebih fail teks. Anda kemudian boleh memisahkan blok BEGIN/END CERTIFICATE jika anda perlu memuat naiknya secara berasingan ke pelayan anda.

Adalah penting untuk ambil perhatian bahawa fail PKCS#7 Ia tidak pernah mengandungi kunci peribadiOleh itu, dengan sendirinya ia tidak berguna untuk menandatangani atau menyahsulit: ia hanya menyediakan bahagian awam rantaian sijil untuk mengesahkan kepercayaan.

PKCS#12: Apakah sebenarnya .pfx dan .p12?

Piawaian PKCS#12 mentakrifkan bekas binari yang dilindungi kata laluan yang boleh merangkumi sijil awam, rantaian CA lengkap dan kunci persendirian berkaitan. Sambungan yang paling biasa untuk format ini ialah .pfx dan .p12, yang boleh dikatakan setara.

Dari segi sejarah, PKCS#12 bermula sebagai format yang berkait rapat dengan Microsoft, tetapi dengan el tiempo Ia telah diseragamkan dalam RFC 7292 dan digunakan hari ini dalam semua jenis sistem, kerana ia membenarkan angkut pasangan sijil + kunci persendirian dengan selamat dari satu pasukan ke satu pasukan yang lain.

Dalam dunia Windows, apabila anda mengeksport sijil "kunci persendirian" daripada stor sijil pengguna atau mesin, wizard akan menjana fail .pfx (atau .p12) yang merangkumi semua yang anda perlukan untuk mengimportnya ke dalam sistem lain: kunci persendirian, pemegang sijil dan biasanya rantaian perantaraan.

Semasa penciptaan atau eksport fail PKCS#12, sistem akan meminta anda untuk menentukan perlindungan kata laluanKata laluan ini akan diperlukan kemudian untuk mengimport fail ke dalam pelayar lain, IIS, klien e-mel atau sistem pengendalian lain. Dengan cara ini, jika seseorang mencuri fail .pfx, mereka tidak akan dapat menggunakannya tanpa mengetahui kata laluan tersebut.

Alatan seperti OpenSSL membolehkan anda menukar fail .pfx atau .p12 kepada PEM, jadi anda mendapat fail teks di mana anda boleh mencari blok kunci peribadi, sijil pelayan dan sijil perantaraan dengan mudah dan menyalinnya jika sesuai (contohnya, dalam panel pengehosan yang hanya menerima CRT, KEY dan CA secara berasingan).

Pembaharuan, eksport dan import sijil .pfx dan .p12

Dalam bidang sijil peribadi (contohnya, yang dikeluarkan oleh FNMT atau pihak berkuasa lain untuk tujuan pengenalan), cara untuk membuat sandaran dan memperbaharuinya berkait rapat dengan penggunaan Fail .pfx atau .p12, yang bergerak pada kad kriptografi, token USB atau secara langsung sebagai fail yang dilindungi pada komputer.

Jika sijil peribadi anda belum tamat tempoh, banyak pihak berkuasa membenarkan Perbaharuinya dalam talianPembaharuan diaktifkan dari titik pendaftaran (persatuan profesional, syarikat, penyedia perkhidmatan pensijilan, dll.) dan anda akan menerima pautan melalui e-mel untuk melengkapkan proses tersebut daripada komputer anda sendiri.

Walau bagaimanapun, jika sijil tersebut telah tamat tempoh, anda biasanya perlu hadir secara peribadi Pergi ke pusat pendaftaran yang sama dengan kad kriptografi atau peranti anda di mana sijil yang telah tamat tempoh disimpan, kenal pasti diri anda dan minta pengeluaran baharu, yang boleh anda eksport sekali lagi dalam format .pfx atau .p12 untuk diimport ke mana sahaja anda memerlukannya.

Dalam pelayar seperti Tepi atau KromProses import melalui Kedai sijil WindowsDaripada tetapan privasi dan keselamatan, anda boleh membuka pengurus sijil, pilih tab Peribadi dan import fail .pfx atau .p12. Wizard akan meminta kata laluan bekas dan menawarkan untuk menandakan kunci tersebut sebagai boleh dieksport untuk sandaran masa hadapan.

Jika anda mempunyai fail .cer tanpa kunci peribadi (ikon sijil tanpa kunci) dan bukannya fail .pfx, fail tersebut hanya berguna untuk pasang sijil awam (ia muncul di bawah “Orang lain”), tetapi bukan untuk ditandatangani atau disahkan. Dalam kes itu, anda tidak akan dapat mendapatkan kunci persendirian dari sana, dan jika anda tidak mempunyai salinan sah yang lain, satu-satunya pilihan adalah meminta sijil baharu.

Cara format ini digunakan dalam sijil SSL pelayan

Dalam kerja seharian dengan pelayan web, VPNSama ada menggunakan proksi atau aplikasi Java, format sijil berbeza yang digunakan bergantung pada sistem dan jenis pemasangan. Menyediakan Apache pada Linux tidak sama dengan menyediakan IIS pada Windows atau Tomcat pada Java.

Dalam persekitaran Unix/Linux (Apache, Nginx, HAProxy, dll.) adalah perkara biasa untuk berfungsi dengan Fail PEM fail berasingan: satu untuk kunci persendirian (.key), satu lagi untuk sijil pelayan (.crt atau .cer), dan kadangkala satu lagi dengan rentetan CA perantaraan. Semua ini dirujuk dalam konfigurasi pelayan untuk mewujudkan TLS.

Pada platform Windows (IIS, perkhidmatan desktop jauh, dll.) adalah sangat biasa untuk diminta .pfx atau .p12 mengandungi kedua-dua sijil dan kunci persendirian serta rantai. Wizard import menguruskan penempatan setiap bahagian di stor yang sepadan, jadi anda tidak perlu risau tentang butiran dalaman.

Dalam persekitaran Java (Tomcat, aplikasi dengan stor kunci mereka sendiri) stor jenis JKS atau PKCS#12Dalam kebanyakan kes, fail .pfx diimport secara langsung atau sijil .p7b digunakan untuk mengkonfigurasi rantaian kepercayaan dalam stor kunci, bergantung pada alat dan versi Java.

Apabila anda membeli sijil SSL daripada pembekal pihak ketiga, anda mungkin menerima pelbagai kombinasi fail: fail CRT + CA dalam format PEM, fail .p7b yang mengandungi rentetan atau fail .pfx yang telah disediakan terlebih dahulu. Kuncinya adalah untuk mengenal pasti jenis fail yang betul. Di manakah kunci peribadi? (jika ia disertakan dengan anda dan tidak dijana oleh pelayan) dan fail yang mengandungi sijil pelayan dan rantaian perantaraan.

Dalam panel kawalan pengehosan, anda biasanya akan diminta untuk mengisi medan untuk CRT, KEY dan secara pilihan, sijil CA atau perantaraan. Jika anda hanya mempunyai fail .pfx, anda boleh menukarnya kepada PEM menggunakan OpenSSL dan mengekstrak setiap blok dari sana, salin dengan teliti dari BEGIN hingga END bagi setiap jenis.

Penukaran antara format sijil dengan OpenSSL

Sebaik sahaja anda memahami apa itu setiap fail, langkah logik seterusnya adalah untuk mengetahui cara menukarkannya Apabila pelayan atau aplikasi meminta format yang berbeza daripada yang disediakan oleh ISP atau CA anda, alat standard untuk ini ialah OpenSSL, tersedia dalam kebanyakan pengedaran Linux dan juga boleh dipasang pada Windows.

Contohnya, jika anda mempunyai sijil dalam DER (.der, .cer) Dan jika anda perlu menukarnya kepada PEM, satu arahan yang mengambil binari tersebut dan mengekodnya semula kepada Base64 dengan pengepala yang sesuai sudah memadai. Begitu juga, anda boleh mengubah PEM kepada DER jika sistem anda hanya menerima binari.

Dengan fail PKCS#7 (.p7b), anda boleh menggunakan OpenSSL untuk cabut sijil-sijil tersebut dalam format PEM dengan arahan mudah yang mencetak sijil yang terkandung dan menyimpannya ke fail teks. Dari situ, anda mengasingkan blok SIJIL BEGIN/END yang berbeza jika anda memerlukan fail individu.

Dalam kes PKCS#12 (.pfx, .p12), OpenSSL membolehkan anda menukar kontena kepada fail PEM yang mengandungi kunci persendirian dan semua sijil. Semasa proses tersebut, anda akan diminta untuk memasukkan kata laluan kontena dan boleh memilih sama ada untuk membiarkan kunci persendirian disulitkan atau dalam teks biasa dalam fail PEM, bergantung pada tujuan penggunaannya.

Jenis penukaran ini memungkinkan senario seperti memuat naik fail .pfx ke pelayan Linux, menukarnya kepada PEM, dan kemudian CRT dan KEY berasingan untuk mengisi borang pemasangan SSL yang tidak menyokong kontena PKCS#12 secara langsung.

Selain penukaran DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 dan PKCS#12↔PEM secara langsung, utiliti yang sama boleh menjana CSR, mengurus kunci, memeriksa sijil dan menyemak tarikh luput, menjadikannya alat asas dalam mana-mana persekitaran yang berfungsi dengan sijil.

Jenis sijil digital dan bidang penggunaannya

Selain format fail, adalah juga berguna untuk menjelaskan tentang jenis sijil bergantung pada penggunaannya atau jenis entiti yang diwakilinya, kerana itu mempengaruhi cara sandaran, pembaharuan dan pemasangannya diuruskan.

Di peringkat kawal selia Eropah (Peraturan eIDAS), perbezaan dibuat antara Sijil elektronik "Mudah" dan sijil yang berkelayakanYang pertama memenuhi keperluan pengenalan dan pengeluaran asas, manakala yang kedua menuntut proses pengesahan identiti yang lebih ketat dan syarat teknikal dan organisasi yang lebih ketat daripada penyedia. Contoh yang jelas di Sepanyol ialah kad pengenalan elektronik (DNIe).

Jika kita melihat siapa pemegangnya, kita boleh mempunyai sijil orang sebenar, orang undang-undang atau entiti tanpa personaliti undang-undangSetiap satunya digunakan untuk menandatangani atau mengesahkan dalam pelbagai bidang: prosedur peribadi, urusan bagi pihak syarikat atau obligasi cukai.

Dalam dunia pelayan web, keluarga sijil yang paling terkenal ialah Sijil SSL/TLSSijil-sijil ini dipasang pada pelayan untuk menyulitkan saluran komunikasi dengan pengguna. Ia termasuk varian seperti sijil domain tunggal, kad bebas dan berbilang domain (SAN), yang berbeza dari segi bilangan nama yang diliputi dan tahap pengesahannya.

Terlepas dari jenisnya, semua sijil ini boleh disimpan dan diedarkan dalam format yang sama: fail .cer, .crt, .pem, .p7b atau bekas .pfx/.p12, bergantung pada sistem tempat ia akan digunakan dan kaedah yang dipilih untuk mengangkut atau membuat sandarannya.

Kegunaan sijil digital sangat besar: Mereka memastikan kerahsiaan dan kesahihan Dalam komunikasi, ia membenarkan tandatangan elektronik yang sah di sisi undang-undang, memudahkan prosedur pentadbiran dan komersial dan membolehkan pelbagai perkhidmatan rangkaian berfungsi dengan selamat tanpa pengguna perlu risau tentang butiran kriptografi.

Pada ketika ini, jelas bahawa sambungan seperti .pfx, .p12, .cer atau .crt hanyalah cara berbeza untuk membungkus perkara yang sama: sijil X.509, kunci persendirian dan, jika berkenaan, rantaian kepercayaan, yang, bergantung pada persekitaran, diwakili sebagai teks Base64, binari DER atau bekas PKCS untuk memudahkan pemasangan dan penggunaan. pengangkutan antara sistem.