Rozdiely medzi súbormi .pfx, .p12, .cer a .crt sú podrobne vysvetlené

Ak ste sem prišli hľadať Rozdiely medzi súbormi .pfx, .p12, .cer a .crtPravdepodobne ste sa už pri inštalácii digitálneho certifikátu alebo SSL na server stretli s viacerými zvláštnymi súbormi. Nie ste sami: medzi skratkami, príponami a formátmi je ľahké sa zmiasť a nevedieť, čo ktorý súbor robí alebo ktorý z nich v každom prípade potrebujete.

Dobrou správou je, že hoci sa názvy môžu zdať zastrašujúce, toto všetko sa dá vysvetliť celkom jednoducho, ak pochopíme, že všetky tieto súbory nie sú ničím iným ako kontajnery certifikátov a kľúčov v rôznych formátoch (textovom alebo binárnom) a navrhnutých pre rôzne systémy (Windows, Linux(Java, prehliadače atď.). Pozrieme sa na ne jeden po druhom, pokojne a navzájom ich prepojíme, aby ste presne vedeli, čo ktorá vec je, na čo slúži a ako ju v prípade potreby použiť alebo konvertovať.

Čo je digitálny certifikát a ako spolu súvisia súbory .pfx, .p12, .cer a .crt?

Digitálny certifikát nie je nič viac ako elektronický dokument podpísaný certifikačnou autoritou (CA alebo podľa nariadenia eIDAS kvalifikovaný poskytovateľ služieb), ktorý prepája identitu s verejným kľúčom. Táto identita môže byť osoba, spoločnosť, webový server, doména atď.

Na dosiahnutie tohto spojenia sa používa nasledovné: kryptografia s verejným kľúčom alebo asymetrická kryptografiaExistuje dvojica kľúčov: verejný kľúč (ktorý môže poznať ktokoľvek) a súkromný kľúč (ktorý by mal mať iba jeho vlastník). Čo je zašifrované verejným kľúčom, je možné dešifrovať iba súkromným kľúčom a naopak, čo umožňuje autentifikáciu, šifrovanie a elektronické podpisy.

Za všetkými týmito certifikátmi sa skrýva infraštruktúra verejného kľúča alebo PKIčo zahŕňa certifikačnú autoritu, registračné autority, úložiská certifikátov, zoznamy zrušených certifikátov (CRL) a v mnohých prostrediach aj autoritu časových pečiatok (TSA) na zaznamenávanie, kedy bol niečo podpísaný.

Vnútorná štruktúra prevažnej väčšiny certifikátov na všeobecné použitie sa riadi štandardom X.509, definovaný ITU a podrobne opísaný v RFC 5280. Táto norma definuje polia ako verzia, sériové číslo, podpisový algoritmus, vydavateľ, doba platnosti, predmet, verejný kľúč držiteľa a možné ďalšie rozšírenia.

Pokiaľ ide o algoritmy, certifikáty zvyčajne používajú asymetrickú kryptografiu s RSA, DSA alebo ECDSARSA a ECDSA slúžia na podpisovanie aj šifrovanie, zatiaľ čo DSA sa zameriava na podpisovanie a overovanie digitálneho podpisu.

Interné formáty a prípony: PEM, DER, CER, CRT a spoločnosť

Keď hovoríme o rozšíreniach ako .cer, .crt, .pem, .der, .pfx, .p12 alebo .p7bV skutočnosti miešame dva koncepty: formát kódovania certifikátu (Base64 text alebo binárny kód) a funkciu, ktorú súbor má (iba certifikát, certifikát + súkromný kľúč, reťazec certifikátov atď.).

Na úrovni interného formátu sú certifikáty X.509 reprezentované ako ASN.1 a zvyčajne sú kódované pomocou DER (binárny kód) alebo jeho textového variantu PEM (DER konvertovaný do Base64 a obalený hlavičkami ako ZAČIATOK/KONIEC). Odtiaľ boli definované rôzne systémy a štandardy špecifické nádoby ako napríklad PKCS#7 (.p7b) alebo PKCS#12 (.pfx, .p12).

Kľúčom k predchádzaniu nejasnostiam je pamätať na to, že prípona súboru je často len jedna konvencia pomenovávaniaSúbor .cer alebo súbor .crt môže obsahovať úplne to isté, len jeden sa používa skôr v prostredí Windows a druhý v prostredí Unix/Linux, aby sme uviedli príklad.

V rámci tejto všeobecnej skupiny existuje niekoľko kľúčové formáty Je dôležité im jasne porozumieť, pretože sú to tie, s ktorými sa budete stretávať neustále pri práci s certifikátmi SSL/TLS alebo osobnými certifikátmi.

Formát PEM: „čitateľný text“ certifikátov

Formát PEM je zďaleka najbežnejší pre certifikáty SSL/TLS na serveroch ako Apache alebo Nginx a vo väčšine bezpečnostných nástrojov. Súbor PEM je jednoducho DER prekódovaný v Base64 a obklopený textovými hlavičkamičo vám umožňuje otvoriť a kopírovať ho pomocou ľubovoľného editora (Poznámkový blok, nano, vim atď.).

PEM je rozpoznaný, pretože jeho obsah je oddelený riadkami ako —–ZAČIATKOVÉ OSVEDČENIE—– y —– ODOSLAŤ OSVEDČENIE—– keď obsahuje certifikát, alebo —–ZAČIATOK SÚKROMNÝ KĽÚČ–– y —–UKONČIŤ SÚKROMNÝ KĽÚČ–– keď obsahuje súkromný kľúč. Všetko medzi tým je reťazec Base64 predstavujúci pôvodné binárne dáta.

V jednom PEM súbore môžete mať iba certifikátMôže byť poskytnutý certifikát plus prechodný reťazec CA, súkromný kľúč samostatne alebo dokonca celý balík (súkromný kľúč, certifikát servera, prechodné certifikáty a koreňový certifikát). Požiadavky na podpis certifikátu sú tiež poskytované v PEM. CSRktoré nie sú ničím iným ako štruktúrami PKCS#10 prekódovanými do textu.

Tento formát bol pôvodne definovaný v dokumentoch RFC 1421-1424 ako súčasť projektu Privacy-enhanced Electronic Mail, ktorý sa neuchytil v e-mailoch, ale zanechal po sebe vynikajúci textový formát pre... prenos kryptografických údajov v pohodlnom, čitateľnom a ľahko kopírovateľnom/vlepiteľnom formáte.

V praxi súbory s príponami .pem, .crt, .cer alebo .key V systémoch Unix/Linux ide zvyčajne o súbory PEM. Súbor .key zvyčajne obsahuje súkromný kľúč, súbor .crt alebo .cer obsahuje certifikát servera a niekedy ďalší súbor PEM obsahuje prechodný reťazec CA.

Formát DER: čistý a jednoduchý binárny súbor

DER (Distinguished Encoding Rules) je binárny kódovací formát štruktúr ASN.1, ktoré opisujú certifikát X.509. Nie je to text, takže ak ho otvoríte v editore, uvidíte namiesto typického reťazca Base64 zvláštne znaky.

Súbor DER môže obsahovať akýkoľvek typ certifikátu alebo súkromného kľúčaZvyčajne sa identifikuje príponami .der alebo .cer, najmä v prostrediach Windows alebo na platformách Java. V systéme Windows sa súbor .der priamo rozpozná ako súbor certifikátu a po dvojitom kliknutí sa otvorí v natívnom prehliadači.

Praktický rozdiel medzi PEM a DER spočíva v tom, že zatiaľ čo PEM sa dá jednoducho skopírovať a poslať e-mailom alebo vložiť do webových formulárov, DER je... uzavretý binárny blob Navrhnuté na priame použitie aplikáciami. Interne sú však informácie rovnaké: PEM nie je nič iné ako DER prekódovaný do textu Base64.

Nástroje ako OpenSSL vám umožňujú prepínať z DER na PEM a naopak jediným príkazom bez toho, aby sa zmenil logický obsah certifikátu, iba jeho forma reprezentácie.

Prípony .cer a .crt: ten istý pes s iným obojkom

Prípony .cer a .crt sa používajú na označenie súbory obsahujúce verejné certifikáty, zvyčajne vo formáte PEM alebo DER, v závislosti od systému, v ktorom sú generované alebo nainštalované.

V niektorých prípadoch bude súbor .crt na serveri Apache certifikovaný v PEM obklopený hlavičkami BEGIN/END CERTIFICATE a pripravený na vloženie do konfiguračného bloku. V systéme Windows môže byť súbor .cer buď PEM, alebo DER, hoci zvyčajne patrí do ktorejkoľvek kategórie v závislosti od nástroja, ktorý ho vygeneroval.

Dôležité je pochopiť, že prípona striktne nedefinuje interný formát: súbor .cer môže byť textový súbor PEM alebo binárny súbor DER a prehliadač alebo nástroj, ako napríklad OpenSSL, určí, ako ho čítať. V prehliadačoch a systémoch Windows sa dvojitým kliknutím otvorí... prehliadač certifikátovkde môžete vidieť vydavateľa, predmet, dátumy platnosti, použitie kľúča atď.

Keď exportujete certifikát bez súkromného kľúča z prehliadača alebo úložiska certifikátov systému Windows, zvyčajne získate súbor .cer, ktorý sa používa na overovať podpisy, reťazce dôveryhodnosti alebo šifrovať informácieale nikdy nepodpisovať v mene vlastníka (na to potrebujete súkromný kľúč, ktorý je samostatný alebo v chránenom kontajneri).

CSR, KEY, CA a medzisúbory: ostatné súbory, ktoré sú súčasťou certifikátu

Pri spracovaní SSL certifikátu alebo osobného certifikátu neuvidíte iba súbory .pfx, .p12 alebo .cer. Celý proces zahŕňa aj súbory ako Certifikáty .csr, .key alebo CA (koreňové a medziprodukty), ktoré sú rovnako dôležité pre fungovanie všetkého.

Žiadosť o podpis, resp. Súbor CSR (.csr) Je to súbor, ktorý zvyčajne vygenerujete na serveri, kde bude nainštalovaný SSL certifikát. Obsahuje verejný kľúč, názov domény, organizáciu, krajinu a ďalšie informácie, ktoré certifikačná autorita použije na vydanie certifikátu. Riadi sa štandardom PKCS#10 a zvyčajne je kódovaný v PEM, takže ho môžete skopírovať a vložiť do formulára poskytovateľa.

Súkromný kľúč alebo KĽÚČ (.kľúč) Toto je súbor, v ktorom je uložený tajný kľúč spojený s certifikátom. Zvyčajne je vo formáte PEM, oddelenom znakmi BEGIN PRIVATE KEY a END PRIVATE KEY. Je to mimoriadne citlivý súbor, ktorý by sa nemal zdieľať ani nahrávať do verejných úložísk a v mnohých prípadoch je navyše chránený heslom.

Súbor CA alebo certifikát autority Obsahuje verejný kľúč entity, ktorá vydáva alebo sprostredkováva certifikát. Prehliadače a OS Dodávajú sa s predvoleným zoznamom dôveryhodných certifikačných autorít, ale niekedy je potrebné nainštalovať prechodné certifikáty na dokončenie reťazca dôvery, aby klienti mohli bez chýb overiť certifikát vášho servera.

Tieto prechodné certifikáty môžu byť dodané ako súbory PEM (.pem, .crt, .cer) alebo v kontajneri, ako napríklad .p7bV konfiguráciách hostingu je veľmi bežné, že sa od vás požadujú súbory CRT (doménový certifikát), KEY (súkromný kľúč) a CA alebo prechodné certifikáty pre správnu inštaláciu SSL.

PKCS#7 / P7B: reťazec certifikátov bez súkromného kľúča

PKCS#7, zvyčajne reprezentovaný s príponami .p7b alebo .p7cJe to formát určený na zoskupenie jedného alebo viacerých certifikátov do štruktúrovaného kontajnera bez zahrnutia súkromného kľúča. Bežne sa používa na distribuovať reťazce certifikátov (serverový certifikát plus prechodné certifikáty) v prostrediach Windows alebo Java (Tomcat, úložisko kľúčov atď.).

Súbor .p7b je zvyčajne kódovaný v Base64 ASCII, podobne ako súbor PEM, a pôvodne bol definovaný v RFC 2315 ako súčasť štandardov kryptografie s verejným kľúčom. Dnes je jeho nástupcom CMS (Cryptographic Message Syntax), ale názov PKCS#7 sa vo svete SSL certifikátov stále bežne používa.

Tento formát je veľmi užitočný, keď potrebujete nainštalovať celý reťazec dôvery na serveri alebo v systéme, ktorý spravuje certifikáty prostredníctvom úložiska (napríklad úložiska kľúčov Java). Poskytovateľ SSL zvyčajne doručí certifikát servera na jednej strane a súbor .p7b s celým reťazcom CA na druhej strane alebo jeden súbor .p7b obsahujúci všetko.

Ak chcete previesť súbor .p7b do formátu PEM, nástroje ako OpenSSL vám umožňujú extrahovať certifikáty jedným príkazom a uložiť ich do jedného alebo viacerých textových súborov. Bloky BEGIN/END CERTIFICATE potom môžete oddeliť, ak ich potrebujete nahrať na server samostatne.

Je dôležité poznamenať, že súbor PKCS#7 nikdy neobsahuje súkromný kľúčPreto sám o sebe nie je užitočný na podpisovanie ani dešifrovanie: poskytuje iba verejnú časť reťazca certifikátov na overenie dôveryhodnosti.

PKCS#12: Čo presne sú .pfx a .p12?

Štandard PKCS#12 definuje binárny kontajner chránený heslom, ktorý môže obsahovať verejné certifikáty, kompletné reťazce CA a súkromný kľúč súvisiace. Najbežnejšie prípony pre tento formát sú .pfx a .p12, ktoré sú prakticky ekvivalentné.

Historicky, PKCS#12 vznikol ako formát úzko spätý s Microsoftom, ale s čas Bol štandardizovaný v RFC 7292 a dnes sa používa vo všetkých typoch systémov práve preto, že umožňuje bezpečne preniesť pár certifikát + súkromný kľúč z jedného tímu do druhého.

Vo svete Windows, keď exportujete certifikát „súkromného kľúča“ z úložiska certifikátov používateľa alebo počítača, sprievodca vygeneruje súbor .pfx (alebo .p12), ktorý obsahuje všetko potrebné na jeho import do iného systému: súkromný kľúč, držiteľa certifikátu a zvyčajne aj medziľahlý reťazec.

Počas vytvárania alebo exportu súboru PKCS#12 vás systém požiada o zadanie ochranné hesloToto heslo bude neskôr potrebné na import súboru do iného prehliadača, služby IIS, e-mailového klienta alebo dokonca iného operačného systému. Týmto spôsobom, ak niekto ukradne súbor .pfx, nebude ho môcť použiť bez znalosti tohto hesla.

Nástroje ako OpenSSL vám umožňujú previesť súbor .pfx alebo .p12 do formátu PEM, takže získate textový súbor, v ktorom môžete jednoducho nájsť blok súkromného kľúča, certifikát servera a prechodné certifikáty a skopírovať ich tam, kde je to potrebné (napríklad v hostingovom paneli, ktorý samostatne akceptuje iba CRT, KEY a CA).

Obnovenie, export a import certifikátov .pfx a .p12

V oblasti osobných certifikátov (napríklad tých, ktoré vydáva FNMT alebo iné orgány na účely identifikácie) je spôsob ich zálohovania a obnovovania úzko spojený s používaním Súbory .pfx alebo .p12, ktoré cestujú na kryptografických kartách, tokenoch USB alebo priamo ako chránené súbory v počítači.

Ak platnosť vášho osobného certifikátu ešte nevypršala, mnohé úrady to povoľujú Obnovte si ho onlineObnovenie je možné z registračného bodu (profesijné združenie, spoločnosť, poskytovateľ certifikačných služieb atď.) a e-mailom dostanete odkaz na dokončenie procesu z vášho počítača.

Ak však platnosť certifikátu už vypršala, zvyčajne budete musieť zúčastniť sa osobne Prejdite na to isté registračné miesto so svojou kryptografickou kartou alebo zariadením, kde je uložený expirovaný certifikát, identifikujte sa a požiadajte o nové vydanie, ktoré môžete opäť exportovať vo formáte .pfx alebo .p12 a importovať ho kamkoľvek potrebujete.

V prehliadačoch ako Edge alebo ChromeProces importu prebieha cez Úložisko certifikátov systému WindowsV nastaveniach ochrany osobných údajov a zabezpečenia môžete otvoriť správcu certifikátov, vybrať kartu Osobné a importovať súbor .pfx alebo .p12. Sprievodca sa spýta na heslo kontajnera a ponúkne označenie kľúča ako exportovateľného pre budúce zálohy.

Ak namiesto súboru .pfx máte súbor .cer bez súkromného kľúča (ikona certifikátu bez kľúča), tento súbor je užitočný iba pre nainštalovať verejný certifikát (zobrazuje sa v časti „Iní ľudia“), ale nie na podpisovanie ani overovanie. V takom prípade nebudete môcť odtiaľ získať súkromný kľúč a ak nemáte inú platnú kópiu, jedinou možnosťou bude požiadať o nový certifikát.

Ako sa tieto formáty používajú v SSL certifikátoch servera

Pri každodennej práci s webovými servermi, VPNČi už používate proxy alebo Java aplikácie, rôzne použité formáty certifikátov závisia od systému a typu inštalácie. Nastavenie Apache v systéme Linux nie je to isté ako nastavenie IIS v systéme Windows alebo Tomcat v systéme Java.

V prostrediach Unix/Linux (Apache, Nginx, HAProxy atď.) je bežné pracovať s Súbory PEM samostatné súbory: jeden pre súkromný kľúč (.key), druhý pre certifikát servera (.crt alebo .cer) a niekedy ešte jeden s medziľahlým reťazcom CA. Všetky tieto sú uvedené v konfigurácii servera na vytvorenie TLS.

Na platformách Windows (IIS, služby vzdialenej pracovnej plochy atď.) je veľmi bežné, že sa od vás bude vyžadovať .pfx alebo .p12 obsahujúci certifikát, súkromný kľúč a reťazec. Sprievodca importom sa postará o umiestnenie každej časti do príslušného úložiska, takže sa nemusíte starať o interné detaily.

V prostrediach Java (Tomcat, aplikácie s vlastným úložiskom kľúčov) úložiská typu JKS alebo PKCS#12V mnohých prípadoch sa súbor .pfx importuje priamo alebo sa certifikáty .p7b používajú na konfiguráciu reťazca dôvery v rámci úložiska kľúčov, v závislosti od nástroja a verzie Javy.

Keď si zakúpite SSL certifikát od poskytovateľa tretej strany, môžete dostať rôzne kombinácie súborov: súbor CRT + CA vo formáte PEM, súbor .p7b obsahujúci reťazec alebo dokonca vopred pripravený súbor .pfx. Kľúčom je identifikovať správny typ súboru. Kde je súkromný kľúč? (ak je súčasťou balenia a nie je vygenerovaný serverom) a aký súbor obsahuje certifikát servera a medziľahlý reťazec.

V ovládacích paneloch hostingu sa zvyčajne zobrazí výzva na vyplnenie polí pre CRT, KEY a voliteľne aj CA alebo prechodný certifikát. Ak máte iba súbor .pfx, môžete ho pomocou OpenSSL previesť na PEM a extrahovať odtiaľ každý blok, pričom starostlivo skopírujete od ZAČIATKU do KONCA každého typu.

Konverzia medzi formátmi certifikátov pomocou OpenSSL

Keď pochopíte, čo každý súbor predstavuje, ďalším logickým krokom je vedieť ako ich previesť Keď server alebo aplikácia vyžaduje iný formát, ako je formát poskytnutý vaším poskytovateľom internetových služieb alebo certifikačnou autoritou, štandardným nástrojom na to je OpenSSL, ktorý je dostupný vo väčšine distribúcií Linuxu a je možné ho nainštalovať aj v systéme Windows.

Napríklad, ak máte certifikát v DER (.der, .cer) A ak ho potrebujete previesť na PEM, postačí jeden príkaz, ktorý vezme tento binárny súbor a prekóduje ho na Base64 s príslušnými hlavičkami. Podobne môžete transformovať PEM na DER, ak váš systém akceptuje iba binárne súbory.

So súborom PKCS#7 (.p7b) môžete použiť OpenSSL na extrahovať certifikáty vo formáte PEM pomocou jednoduchého príkazu, ktorý vytlačí obsiahnuté certifikáty a uloží ich do textového súboru. Odtiaľ oddelíte rôzne bloky BEGIN/END CERTIFICATE, ak potrebujete jednotlivé súbory.

V prípade PKCS#12 (.pfx, .p12) vám OpenSSL umožňuje previesť kontajner do súboru PEM obsahujúceho súkromný kľúč a všetky certifikáty. Počas procesu budete vyzvaní na zadanie hesla kontajnera a môžete si vybrať, či chcete súkromný kľúč ponechať šifrovaný alebo ako obyčajný text v súbore PEM, v závislosti od jeho zamýšľaného použitia.

Tieto typy konverzií umožňujú scenáre, ako je napríklad nahranie súboru .pfx na server Linux, jeho konverzia na PEM a následné samostatný CRT a KEY vyplniť formulár na inštaláciu SSL, ktorý priamo nepodporuje kontajnery PKCS#12.

Okrem priamych konverzií DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 a PKCS#12↔PEM dokáže ten istý nástroj generovať CSR, spravovať kľúče, kontrolovať certifikáty a kontrolovať dátumy expirácie, čo z neho robí základný nástroj v akomkoľvek prostredí, ktoré pracuje s certifikátmi.

Typy digitálnych certifikátov a oblasti použitia

Okrem formátu súboru je užitočné mať jasno aj v tom, typy certifikátov v závislosti od ich použitia alebo typu entity, ktorú predstavujú, pretože to ovplyvňuje spôsob správy ich záloh, obnov a inštalácií.

Na európskej regulačnej úrovni (nariadenie eIDAS) sa rozlišuje medzi „Jednoduché“ elektronické certifikáty a kvalifikované certifikátyPrvé spĺňajú základné požiadavky na identifikáciu a vydávanie, zatiaľ čo druhé vyžadujú od poskytovateľa prísnejšie procesy overovania totožnosti a prísnejšie technické a organizačné podmienky. Jasným príkladom v Španielsku by bol elektronický občiansky preukaz (DNIe).

Ak sa pozrieme na to, kto je držiteľom, môžeme mať certifikáty fyzická osoba, právnická osoba alebo subjekt bez právnej subjektivityKaždý z nich sa používa na podpisovanie alebo overovanie v rôznych oblastiach: osobné postupy, obchodovanie v mene spoločnosti alebo daňové povinnosti.

Vo svete webových serverov je najznámejšou rodinou certifikátov rodina... SSL/TLS certifikátyTieto certifikáty sa inštalujú na serveroch na šifrovanie komunikačného kanála s používateľmi. Zahŕňajú varianty, ako sú certifikáty pre jednu doménu, zástupné znaky a viacdoménové (SAN) certifikáty, ktoré sa líšia počtom mien, ktoré pokrývajú, a úrovňou overenia.

Bez ohľadu na typ, všetky tieto certifikáty môžu byť uložené a distribuované v rovnakých formátoch: súbory .cer, .crt, .pem, .p7b alebo kontajnery .pfx/.p12, v závislosti od systému, v ktorom sa budú používať, a od zvolenej metódy ich prenosu alebo zálohovania.

Užitočnosť digitálnych certifikátov je obrovská: Zaručujú dôvernosť a autenticitu komunikácie umožňujú právne platné elektronické podpisy, zjednodušujú administratívne a obchodné postupy a umožňujú bezpečné fungovanie viacerých sieťových služieb bez toho, aby sa používateľ musel obávať kryptografických detailov.

V tomto bode je jasné, že prípony ako .pfx, .p12, .cer alebo .crt sú jednoducho rôzne spôsoby balenia tej istej veci: certifikátu X.509, súkromného kľúča a prípadne reťazca dôvery, ktoré sú v závislosti od prostredia reprezentované ako text Base64, binárne súbory DER alebo kontajnery PKCS na uľahčenie inštalácie a nasadenia. transport medzi systémami.