De verschillen tussen .pfx, .p12, .cer en .crt worden in detail uitgelegd.

Als je hier bent gekomen op zoek naar de Verschillen tussen .pfx, .p12, .cer en .crtWaarschijnlijk bent u al meer dan eens een vreemd bestand tegengekomen bij het installeren van een digitaal certificaat of SSL-certificaat op een server. U bent niet de enige: tussen alle afkortingen, extensies en formaten is het makkelijk om in de war te raken en niet te weten wat elk bestand doet of welke u in welk geval nodig hebt.

Het goede nieuws is dat, hoewel de namen misschien intimiderend lijken, dit alles vrij eenvoudig te verklaren is als we begrijpen dat al deze bestanden niets meer zijn dan certificaat- en sleutelcontainers in verschillende formaten (tekst of binair) en ontworpen voor verschillende systemen (Windows, Linux(Java, browsers, enz.). We zullen ze één voor één rustig bekijken en de verbanden ertussen uitleggen, zodat u precies weet wat elk onderdeel is, waar het voor dient en hoe u ze kunt gebruiken of converteren wanneer dat nodig is.

Wat is een digitaal certificaat en hoe verhouden .pfx, .p12, .cer en .crt zich tot elkaar?

Een digitaal certificaat is niets meer dan een elektronisch document ondertekend door een certificeringsinstantie (CA of, volgens de eIDAS-regelgeving, een gekwalificeerde dienstverlener) die een identiteit koppelt aan een publieke sleutel. Die identiteit kan een persoon, een bedrijf, een webserver, een domein, enzovoort zijn.

Om deze verbinding tot stand te brengen, wordt het volgende gebruikt: publieke-sleutel- of asymmetrische cryptografieEr bestaat een sleutelpaar: een publieke sleutel (die iedereen kan kennen) en een privésleutel (die alleen de eigenaar zou moeten hebben). Wat met de publieke sleutel is versleuteld, kan alleen met de privésleutel worden ontsleuteld, en omgekeerd. Dit maakt authenticatie, versleuteling en elektronische handtekeningen mogelijk.

Achter al deze certificaten schuilt een publieke sleutelinfrastructuur of PKIDit omvat de certificeringsinstantie, registratie-instanties, certificaatarchieven, certificaatintrekkingslijsten (CRL's) en, in veel omgevingen, een tijdstempelautoriteit (TSA) om vast te leggen wanneer iets is ondertekend.

De interne structuur van de overgrote meerderheid van algemene certificaten volgt de standaard. X.509, gedefinieerd door de ITU en gedetailleerd beschreven in RFC 5280. Deze standaard definieert velden zoals versie, serienummer, ondertekeningsalgoritme, uitgever, geldigheidsperiode, onderwerp, openbare sleutel van de houder en mogelijke aanvullende uitbreidingen.

Wat de algoritmen betreft, maken certificaten doorgaans gebruik van asymmetrische cryptografie met RSA, DSA of ECDSARSA en ECDSA worden gebruikt voor zowel ondertekening als versleuteling, terwijl DSA zich richt op het ondertekenen en verifiëren van digitale handtekeningen.

Interne formaten en extensies: PEM, DER, CER, CRT en bedrijfsformaten.

Als we het hebben over uitbreidingen zoals .cer, .crt, .pem, .der, .pfx, .p12 of .p7bIn werkelijkheid halen we twee concepten door elkaar: het coderingsformaat van het certificaat (Base64-tekst of binair) en de functie die het bestand heeft (alleen certificaat, certificaat + privésleutel, certificaatketen, enz.).

Op intern formaatniveau worden X.509-certificaten weergegeven als ASN.1 en worden normaal gesproken gecodeerd met DER (binair) of de tekstuele variant PEM (DER geconverteerd naar Base64 en voorzien van headers zoals BEGIN/EINDE). Van daaruit hebben verschillende systemen en standaarden gedefinieerd specifieke containers zoals PKCS#7 (.p7b) of PKCS#12 (.pfx, .p12).

De sleutel tot het voorkomen van verwarring is te onthouden dat de bestandsextensie vaak slechts één van de drie tekens is. naamgevingsconventieEen .cer-bestand of een .crt-bestand kan exact dezelfde inhoud hebben, alleen wordt het ene vaker gebruikt in Windows en het andere in Unix/Linux-omgevingen, om maar een voorbeeld te noemen.

Binnen deze algemene groep zijn er enkele belangrijke formaten Het is belangrijk om deze goed te begrijpen, omdat u ze voortdurend tegenkomt bij het werken met SSL/TLS of persoonlijke certificaten.

PEM-formaat: de "leesbare tekst" van certificaten

Het PEM-formaat is verreweg het meest gebruikte formaat voor SSL/TLS-certificaten op servers zoals Apache of Nginx en in de meeste beveiligingsprogramma's. Een PEM-bestand is simpelweg een DER gehercodeerd in Base64 en omgeven door tekstheaderswaardoor je het met elke editor (Kladblok, nano, vim, enz.) kunt openen en kopiëren.

Een PEM-bestand wordt herkend doordat de inhoud ervan wordt afgebakend door regels zoals —– BEGIN CERTIFICAAT—– y —– EIND CERTIFICAAT—– wanneer het een certificaat bevat, of —–BEGIN PRIVÉSLEUTEL—– y —–EINDE PRIVÉSLEUTEL—– wanneer het een privésleutel bevat. Alles daartussenin is een Base64-string die de oorspronkelijke binaire gegevens vertegenwoordigt.

In één enkel PEM-bestand kunt u het volgende hebben: alleen het certificaatHet certificaat plus de tussenliggende CA-keten, de privésleutel afzonderlijk, of zelfs het volledige pakket (privésleutel, servercertificaat, tussenliggende certificaten en rootcertificaat) kan worden aangeleverd. Ook certificaatondertekeningsverzoeken worden in PEM-formaat aangeboden. CSRDit zijn niets meer dan PKCS#10-structuren die in tekst zijn omgezet.

Dit formaat werd oorspronkelijk gedefinieerd in RFC's 1421-1424 als onderdeel van het Privacy-enhanced Electronic Mail-project, dat niet aansloeg voor e-mail, maar wel een uitstekend tekstformaat achterliet voor cryptografische gegevens transporteren in een comfortabel, leesbaar en gemakkelijk te kopiëren/plakken formaat.

In de praktijk hebben bestanden met extensies .pem, .crt, .cer of .key In Unix/Linux-systemen zijn dit meestal PEM-bestanden. Doorgaans bevat .key de privésleutel, .crt of .cer het servercertificaat en soms een extra PEM-bestand met de tussenliggende CA-keten.

DER-formaat: het pure en eenvoudige binaire formaat

DER (Distinguished Encoding Rules) is de binaire coderingsindeling van de ASN.1-structuren die een X.509-certificaat beschrijven. Het is geen tekst, dus als je het met een editor opent, zie je vreemde tekens in plaats van de gebruikelijke Base64-string.

Een DER-bestand kan het volgende bevatten: elk type certificaat of privésleutelEen certificaatbestand wordt doorgaans herkend aan de extensie .der of .cer, met name in Windows-omgevingen of op Java-platformen. Op Windows wordt een .der-bestand direct herkend als een certificaatbestand en wordt het bij dubbelklikken geopend met de native viewer.

Het praktische verschil met PEM is dat PEM gemakkelijk kan worden gekopieerd en per e-mail verzonden of in webformulieren geplakt, terwijl DER een gesloten binaire blob Ontworpen voor direct gebruik door applicaties. Intern is de informatie echter hetzelfde: een PEM is niets meer dan een DER die opnieuw is gecodeerd naar Base64-tekst.

Met tools zoals OpenSSL kun je met één commando schakelen tussen DER en PEM, zonder de logische inhoud van het certificaat te wijzigen, alleen de weergavevorm ervan.

.cer- en .crt-extensies: dezelfde hond met een andere halsband.

De extensies .cer en .crt worden gebruikt om aan te duiden bestanden met openbare certificaten, meestal in PEM- of DER-formaat, afhankelijk van het systeem waarin ze worden opgewekt of geïnstalleerd.

In sommige gevallen zal een .crt-bestand op een Apache-server een gecertificeerd in PEM Omgeven door de BEGIN/END CERTIFICATE-headers en klaar om in een configuratieblok te worden geplakt. In Windows kan een .cer-bestand zowel PEM als DER zijn, hoewel het meestal in een van beide categorieën valt, afhankelijk van de tool die het heeft gegenereerd.

Het is belangrijk om te begrijpen dat de extensie niet strikt het interne formaat definieert: een .cer-bestand kan PEM-tekst of DER-binair zijn, en een viewer of hulpprogramma zoals OpenSSL bepaalt hoe het gelezen moet worden. In browsers en Windows-systemen opent een dubbelklik het bestand... certificaatviewerwaar je de uitgever, het onderwerp, de geldigheidsdata, het sleutelgebruik, enzovoort kunt zien.

Wanneer u een certificaat zonder privésleutel exporteert vanuit een browser of het Windows-certificaatarchief, krijgt u normaal gesproken een .cer-bestand, dat wordt gebruikt voor Handtekeningen valideren, vertrouwensketens controleren of informatie versleutelenmaar nooit namens de eigenaar tekenen (daarvoor hebt u de privésleutel nodig, die apart of in een beveiligde container wordt bewaard).

CSR, KEY, CA en tussenliggende bestanden: de overige bestanden die bij het certificaat worden geleverd.

Bij het verwerken van een SSL-certificaat of een persoonlijk certificaat ziet u niet alleen .pfx-, .p12- of .cer-bestanden. Het hele proces omvat ook bestanden zoals .csr-, .key- of CA-certificaten (wortel en tussenproducten), die even belangrijk zijn voor het functioneren van alles.

Het verzoek om een ​​handtekening of CSR (.csr) Het is een bestand dat je doorgaans genereert op de server waar het SSL-certificaat wordt geïnstalleerd. Het bevat de publieke sleutel, domeinnaam, organisatie, land en andere informatie die de certificeringsinstantie gebruikt om het certificaat uit te geven. Het volgt de PKCS#10-standaard en is meestal gecodeerd in PEM, zodat je het kunt kopiëren en plakken in het formulier van de provider.

De privésleutel of SLEUTEL (.key) Dit is het bestand waarin de geheime sleutel van het certificaat is opgeslagen. Het is meestal in PEM-formaat, begrensd door BEGIN PRIVATE KEY en END PRIVATE KEY. Het is een uiterst gevoelig bestand dat niet mag worden gedeeld of geüpload naar openbare opslagplaatsen, en in veel gevallen is het bovendien met een wachtwoord beveiligd.

Het bestand van CA of certificaat van bevoegdheid Het bevat de publieke sleutel van de entiteit die het certificaat uitgeeft of bemiddelt. Browsers en besturingssystemen Ze worden geleverd met een standaardlijst van vertrouwde CA's, maar soms is het nodig om tussenliggende certificaten te installeren om de vertrouwensketen te voltooien, zodat clients het certificaat van uw server zonder fouten kunnen valideren.

Deze tussenliggende certificaten kunnen worden aangeleverd als PEM-bestanden (.pem, .crt, .cer) of in een container zoals .p7bBij hostingconfiguraties wordt vaak gevraagd om het CRT-bestand (domeincertificaat), de KEY-bestand (privésleutel) en de CA- of tussenliggende certificaatbestanden voor een correcte SSL-installatie.

PKCS#7 / P7B: certificaatketen zonder privésleutel

PKCS#7, meestal weergegeven met extensies .p7b of .p7cHet is een formaat dat is ontworpen om een ​​of meer certificaten in een gestructureerde container te groeperen, zonder de privésleutel mee te nemen. Het wordt vaak gebruikt voor distribueer certificaatketens (servercertificaat plus tussenliggende certificaten) in Windows- of Java-omgevingen (Tomcat, keystore, enz.).

Een .p7b-bestand is doorgaans gecodeerd in Base64 ASCII, vergelijkbaar met een PEM-bestand, en werd oorspronkelijk gedefinieerd in RFC 2315 als onderdeel van de standaarden voor publieke-sleutelcryptografie. Tegenwoordig is de opvolger CMS (Cryptographic Message Syntax), maar de naam PKCS#7 wordt nog steeds veel gebruikt in de wereld van SSL-certificaten.

Dit formaat is erg handig wanneer je het nodig hebt installeer de volledige vertrouwensketen Op een server of in een systeem dat certificaten beheert via een opslagplaats (bijvoorbeeld de Java-keystore). Een SSL-provider levert doorgaans enerzijds het servercertificaat en anderzijds een .p7b-bestand met de volledige CA-keten, of één enkel .p7b-bestand dat alles bevat.

Als je een .p7b-bestand naar PEM wilt converteren, kun je met tools zoals OpenSSL de certificaten met één commando extraheren en opslaan in een of meer tekstbestanden. Je kunt de BEGIN/END CERTIFICATE-blokken vervolgens scheiden als je ze afzonderlijk naar je server wilt uploaden.

Het is belangrijk om te weten dat een PKCS#7-bestand bevat nooit de privésleutelHet certificaat is op zichzelf dus niet bruikbaar voor ondertekening of decodering: het levert alleen het publieke deel van de certificaatketen om het vertrouwen te valideren.

PKCS#12: Wat zijn .pfx en .p12 precies?

De PKCS#12-standaard definieert een met een wachtwoord beveiligde binaire container die het volgende kan bevatten: openbare certificaten, complete CA-ketens en de privésleutel geassocieerd. De meest voorkomende extensies voor dit formaat zijn .pfx en .p12, die praktisch gelijkwaardig zijn.

PKCS#12 begon historisch gezien als een formaat dat nauw verbonden was met Microsoft, maar met de tijd Het werd gestandaardiseerd in RFC 7292 en wordt tegenwoordig in alle soorten systemen gebruikt, juist omdat het mogelijk maakt Het certificaat en de privésleutelcombinatie veilig vervoeren van het ene team naar het andere.

In de Windows-wereld genereert de wizard, wanneer u een certificaat met een 'privésleutel' exporteert vanuit het certificaatarchief van de gebruiker of de machine, een .pfx- (of .p12-)bestand dat alles bevat wat u nodig hebt om het in een ander systeem te importeren: de privésleutel, de certificaathouder en meestal ook de tussenliggende certificaatketen.

Tijdens het aanmaken of exporteren van een PKCS#12-bestand zal het systeem u vragen een waarde op te geven. wachtwoordbeveiligingDit wachtwoord is later nodig om het bestand te importeren in een andere browser, IIS, een e-mailclient of zelfs een ander besturingssysteem. Op deze manier kan iemand die het .pfx-bestand steelt, het niet gebruiken zonder het wachtwoord te kennen.

Met tools zoals OpenSSL kun je een .pfx- of .p12-bestand converteren naar PEM, zodat je een tekstbestand krijgt waarin je gemakkelijk het privésleutelblok, het servercertificaat en de tussenliggende certificaten kunt vinden en kopiëren waar nodig (bijvoorbeeld in een hostingpaneel dat alleen CRT, KEY en CA afzonderlijk accepteert).

Vernieuwing, export en import van .pfx- en .p12-certificaten

Op het gebied van persoonscertificaten (bijvoorbeeld certificaten uitgegeven door de FNMT of andere autoriteiten voor identificatiedoeleinden) is de manier waarop deze worden geback-upt en vernieuwd nauw verbonden met het gebruik van .pfx- of .p12-bestanden, die zich verplaatsen op cryptografische kaarten, tokens USB of direct als beveiligde bestanden op de computer.

Als uw persoonlijke certificaat nog niet is verlopen, staan ​​veel instanties dit toe. Verleng het onlineDe verlenging is mogelijk via het registratiepunt (beroepsvereniging, bedrijf, certificeringsinstantie, enz.) en u ontvangt een link per e-mail om het proces vanaf uw eigen computer te voltooien.

Als het certificaat echter al is verlopen, moet u normaal gesproken het volgende doen: persoonlijk aanwezig zijn Ga met uw cryptografische kaart of apparaat naar hetzelfde registratiepunt waar het verlopen certificaat is opgeslagen, identificeer uzelf en vraag een nieuwe uitgifte aan. Deze kunt u vervolgens exporteren in .pfx- of .p12-formaat om te importeren waar u hem nodig hebt.

In browsers zoals Edge of ChromeHet importproces verloopt via de Windows-certificaatarchiefVanuit de privacy- en beveiligingsinstellingen kunt u het certificaatbeheer openen, het tabblad 'Persoonlijk' selecteren en een .pfx- of .p12-bestand importeren. De wizard vraagt ​​om het containerwachtwoord en biedt aan om de sleutel te markeren als exporteerbaar voor toekomstige back-ups.

Als je in plaats van een .pfx-bestand een .cer-bestand hebt zonder privésleutel (certificaatpictogram zonder sleutel), is dat bestand alleen bruikbaar voor installeer het openbare certificaat (Het verschijnt onder 'Andere personen'), maar niet voor ondertekening of authenticatie. In dat geval kunt u de privésleutel daar niet ophalen, en als u geen andere geldige kopie hebt, is de enige optie om een ​​nieuw certificaat aan te vragen.

Hoe deze formaten worden gebruikt in SSL-servercertificaten

Bij het dagelijks werken met webservers, VPNOf je nu proxy's of Java-applicaties gebruikt, de verschillende certificaatformaten die worden gebruikt, hangen af ​​van het systeem en het type installatie. Apache op Linux instellen is niet hetzelfde als IIS op Windows of Tomcat op Java.

In Unix/Linux-omgevingen (Apache, Nginx, HAProxy, enz.) is het gebruikelijk om te werken met PEM-bestanden Afzonderlijke bestanden: één voor de privésleutel (.key), een ander voor het servercertificaat (.crt of .cer), en soms nog een met de tussenliggende CA-string. Al deze bestanden worden in de serverconfiguratie gebruikt om TLS tot stand te brengen.

Op Windows-platformen (IIS, Remote Desktop Services, enz.) wordt er vaak om een ​​bepaalde informatie gevraagd. .pfx of .p12 Het pakket bevat zowel het certificaat als de privésleutel en de certificaatketen. De importwizard zorgt ervoor dat elk onderdeel in de juiste opslaglocatie wordt geplaatst, zodat u zich geen zorgen hoeft te maken over de interne details.

In Java-omgevingen (Tomcat, applicaties met een eigen keystore) zijn de opslagplaatsen van het type JKS of PKCS#12In veel gevallen wordt een .pfx-bestand direct geïmporteerd, of worden .p7b-certificaten gebruikt om de vertrouwensketen binnen een keystore te configureren, afhankelijk van de tool en de Java-versie.

Wanneer u een SSL-certificaat aanschaft bij een externe aanbieder, kunt u verschillende bestandscombinaties ontvangen: een CRT- en CA-bestand in PEM-formaat, een .p7b-bestand met de tekenreeks, of zelfs een vooraf voorbereid .pfx-bestand. Het is cruciaal om het juiste bestandstype te identificeren. Waar bevindt zich de privésleutel? (indien u deze zelf meeneemt en deze niet door de server is gegenereerd) en welk bestand het servercertificaat en de tussenliggende certificaatketen bevat.

In hostingcontrolepanelen wordt u doorgaans gevraagd om velden in te vullen voor de CRT, de KEY en optioneel het CA- of tussenliggende certificaat. Als u alleen een .pfx-bestand hebt, kunt u dit met OpenSSL converteren naar PEM en vervolgens elk blok eruit halen, waarbij u zorgvuldig van BEGIN tot END van elk type kopieert.

Conversie tussen certificaatformaten met OpenSSL

Als je eenmaal begrijpt wat elk bestand is, is de volgende logische stap om te weten... hoe ze om te zetten Wanneer de server of applicatie een ander formaat vereist dan dat van uw internetprovider of certificeringsinstantie, is OpenSSL hiervoor de standaardoplossing. OpenSSL is beschikbaar in de meeste Linux-distributies en kan ook op Windows worden geïnstalleerd.

Als u bijvoorbeeld een certificaat hebt in DER (.der, .cer) En als je het naar PEM moet converteren, volstaat één commando dat het binaire bestand neemt en het opnieuw codeert naar Base64 met de juiste headers. Op dezelfde manier kun je een PEM-bestand naar DER converteren als je systeem alleen binaire bestanden accepteert.

Met een PKCS#7 (.p7b) bestand kunt u OpenSSL gebruiken om extraheer de certificaten In PEM-formaat met een eenvoudig commando dat de daarin opgenomen certificaten afdrukt en opslaat in een tekstbestand. Van daaruit kunt u de verschillende BEGIN/END CERTIFICATE-blokken scheiden als u afzonderlijke bestanden nodig hebt.

In het geval van PKCS#12 (.pfx, .p12) kunt u met OpenSSL de container converteren naar een PEM-bestand dat de privésleutel en alle certificaten bevat. Tijdens dit proces wordt u gevraagd om het containerwachtwoord en kunt u kiezen of u de privésleutel versleuteld of in platte tekst in het PEM-bestand wilt laten staan, afhankelijk van het beoogde gebruik.

Dit soort conversies maakt scenario's mogelijk zoals het uploaden van een .pfx-bestand naar een Linux-server, het converteren ervan naar PEM, en vervolgens aparte CRT en KEY om een ​​SSL-installatieformulier in te vullen dat PKCS#12-containers niet direct ondersteunt.

Naast directe DER↔PEM-, PEM↔PKCS#7-, PKCS#7↔PKCS#12- en PKCS#12↔PEM-conversies kan hetzelfde programma ook CSR's genereren, sleutels beheren, certificaten inspecteren en vervaldatums controleren. Daarmee is het een essentieel hulpmiddel in elke omgeving waar met certificaten wordt gewerkt.

Soorten digitale certificaten en toepassingsgebieden

Naast het bestandsformaat is het ook handig om duidelijkheid te scheppen over de soorten certificaten afhankelijk van hun gebruik of het type entiteit dat ze vertegenwoordigen, aangezien dat van invloed is op hoe hun back-ups, verlengingen en installaties worden beheerd.

Op Europees regelgevingsniveau (eIDAS-verordening) wordt onderscheid gemaakt tussen "Eenvoudige" elektronische certificaten en gekwalificeerde certificatenDe eerstgenoemde voldoen aan de basisvereisten voor identificatie en uitgifte, terwijl de laatstgenoemde strengere identiteitsverificatieprocessen en rigoureuzere technische en organisatorische voorwaarden van de aanbieder vereisen. Een duidelijk voorbeeld in Spanje is de elektronische identiteitskaart (DNIe).

Als we kijken naar wie de houder is, kunnen we certificaten hebben van natuurlijke persoon, rechtspersoon of entiteit zonder rechtspersoonlijkheidElk van deze symbolen wordt gebruikt voor ondertekening of authenticatie op verschillende gebieden: respectievelijk persoonlijke procedures, transacties namens een bedrijf of fiscale verplichtingen.

In de wereld van webservers is de bekendste certificaatfamilie die van SSL/TLS-certificatenDeze certificaten worden op servers geïnstalleerd om het communicatiekanaal met gebruikers te versleutelen. Er zijn verschillende varianten, zoals certificaten voor één domein, wildcardcertificaten en certificaten voor meerdere domeinen (SAN-certificaten), die verschillen in het aantal namen dat ze dekken en hun validatieniveau.

Ongeacht het type kunnen al deze certificaten uiteindelijk in dezelfde formaten worden opgeslagen en gedistribueerd: .cer-, .crt-, .pem-, .p7b-bestanden of .pfx/.p12-containers, afhankelijk van het systeem waarop ze worden gebruikt en de gekozen methode voor transport of back-up.

Het nut van digitale certificaten is enorm: Ze garanderen vertrouwelijkheid en authenticiteit. Ze verbeteren de communicatie, maken juridisch geldige elektronische handtekeningen mogelijk, vereenvoudigen administratieve en commerciële procedures en zorgen ervoor dat meerdere netwerkdiensten veilig kunnen functioneren zonder dat de gebruiker zich zorgen hoeft te maken over cryptografische details.

Het is nu duidelijk dat extensies zoals .pfx, .p12, .cer of .crt simpelweg verschillende manieren zijn om hetzelfde te verpakken: een X.509-certificaat, een privésleutel en, indien van toepassing, een vertrouwensketen. Afhankelijk van de omgeving worden deze weergegeven als Base64-tekst, DER-binair bestand of PKCS-containers om installatie en implementatie te vergemakkelijken. transport tussen systemen.