Dallimet midis .pfx, .p12, .cer dhe .crt të shpjeguara në detaje

Nëse keni ardhur këtu duke kërkuar për Dallimet midis .pfx, .p12, .cer dhe .crtMe shumë mundësi keni hasur më shumë se një skedar të çuditshëm kur instaloni një certifikatë dixhitale ose SSL në një server. Nuk jeni vetëm: midis akronimeve, zgjerimeve dhe formateve, është e lehtë të ngatërroheni dhe të mos dini se çfarë bën secili skedar ose cilin ju nevojitet në secilin rast.

Lajmi i mirë është se, megjithëse emrat mund të duken frikësues, e gjithë kjo mund të shpjegohet mjaft thjesht nëse kuptojmë se të gjitha këto skedarë nuk janë gjë tjetër veçse certifikata dhe kontejnerë çelësash në formate të ndryshme (tekst ose binar) dhe të dizajnuara për sisteme të ndryshme (Dritaret, Linux(Java, shfletues, etj.). Do t'i shqyrtojmë një nga një, me qetësi, dhe do t'i lidhim me njëra-tjetrën në mënyrë që të dini saktësisht se çfarë është secila gjë, për çfarë shërben dhe si t'i përdorni ose konvertoni ato kur është e nevojshme.

Çfarë është një certifikatë dixhitale dhe si kombinohen së bashku .pfx, .p12, .cer dhe .crt?

Një certifikatë dixhitale nuk është gjë tjetër veçse një dokument elektronik i nënshkruar nga një Autoritet Certifikimi (CA ose, sipas rregullores eIDAS, një Ofrues i Shërbimeve të Kualifikuara) që lidh një identitet me një çelës publik. Ky identitet mund të jetë një person, një kompani, një server web, një domen, etj.

Për të arritur këtë lidhje, përdoren mjetet e mëposhtme: kriptografia me çelës publik ose asimetrikeEkziston një palë çelësash: një çelës publik (të cilin kushdo mund ta dijë) dhe një çelës privat (të cilin duhet ta ketë vetëm pronari). Ajo që është e enkriptuar me çelësin publik mund të dekriptohet vetëm me çelësin privat dhe anasjelltas, duke lejuar autentifikimin, enkriptimin dhe nënshkrimet elektronike.

Pas të gjitha këtyre certifikatave fshihet një infrastrukturë me çelës publik ose PKIi cili përfshin autoritetin e certifikimit, autoritetet e regjistrimit, depot e certifikatave, listat e revokimit të certifikatave (CRL) dhe, në shumë mjedise, një autoritet të vulës kohore (TSA) për të regjistruar kur është nënshkruar diçka.

Struktura e brendshme e shumicës dërrmuese të certifikatave me qëllim të përgjithshëm ndjek standardin X.509, i përcaktuar nga ITU dhe i përshkruar në detaje në RFC 5280. Ky standard përcakton fusha të tilla si versioni, numri serial, algoritmi i nënshkrimit, lëshuesi, periudha e vlefshmërisë, subjekti, çelësi publik i mbajtësit dhe zgjerime të mundshme shtesë.

Lidhur me algoritmet, certifikatat zakonisht përdorin kriptografi asimetrike me RSA, DSA ose ECDSARSA dhe ECDSA shërbejnë si për nënshkrimin ashtu edhe për enkriptimin, ndërsa DSA përqendrohet në nënshkrimin dhe verifikimin e nënshkrimit dixhital.

Formatet dhe zgjerimet e brendshme: PEM, DER, CER, CRT dhe kompani

Kur flasim për zgjerime si .cer, .crt, .pem, .der, .pfx, .p12 ose .p7bNë realitet, ne po përziejmë dy koncepte: formatin e kodimit të certifikatës (tekst Base64 ose binar) dhe funksionin që ka skedari (vetëm certifikatë, certifikatë + çelës privat, zinxhir certifikatash, etj.).

Në nivelin e formatit të brendshëm, certifikatat X.509 përfaqësohen me ASN.1 dhe normalisht kodohen me DER (binar) ose variantin e tij tekstual PEM (DER i konvertuar në Base64 dhe i mbështjellë me tituj si FILLIM/FUND). Që atëherë, sisteme dhe standarde të ndryshme kanë përcaktuar kontejnerë të veçantë siç është PKCS#7 (.p7b) ose PKCS#12 (.pfx, .p12).

Çelësi për të shmangur konfuzionin është të mbani mend se zgjatimi i skedarit është shpesh vetëm një konventë emërtimiNjë skedar .cer ose një skedar .crt mund të përmbajë saktësisht të njëjtën gjë, vetëm se njëri përdoret më shumë në Windows dhe tjetri në mjediset Unix/Linux, për të dhënë një shembull.

Brenda këtij grupi të përgjithshëm, ka disa formatet kryesore Këto janë të rëndësishme për t'u kuptuar qartë, sepse janë ato që do t'i hasni gjatë gjithë kohës kur punoni me SSL/TLS ose certifikata personale.

Formati PEM: "teksti i lexueshëm" i certifikatave

Formati PEM është padyshim më i zakonshmi për certifikatat SSL/TLS në servera si Apache ose Nginx dhe në shumicën e mjeteve të sigurisë. Një skedar PEM është thjesht një DER i rikoduar në Base64 dhe i rrethuar nga tituj tekstii cili ju lejon ta hapni dhe kopjoni atë me çdo redaktues (Notepad, nano, vim, etj.).

Një PEM njihet sepse përmbajtja e tij kufizohet nga rreshta si —–CERTIFIKATË FILLIMI—– y —–CERTIFIKATË PËRFUNDIMI—– kur përmban një certifikatë, ose —–FILLIMI I ÇELËSIT PRIVAT—– y —–FUND ÇELËSI PRIVAT—– kur përmban një çelës privat. Çdo gjë midis tyre është një varg Base64 që përfaqëson të dhënat binare origjinale.

Në një skedar të vetëm PEM mund të keni vetëm certifikataMund të ofrohet certifikata plus zinxhiri i ndërmjetëm i CA-së, çelësi privat veçmas, ose edhe e gjithë paketa (çelësi privat, certifikata e serverit, certifikatat e ndërmjetme dhe certifikata rrënjë). Kërkesat për nënshkrimin e certifikatave ofrohen gjithashtu në PEM. CSRtë cilat nuk janë gjë tjetër veçse struktura PKCS#10 të rikoduara në tekst.

Ky format u përcaktua fillimisht në RFC-të 1421-1424 si pjesë e projektit të Postës Elektronike të Përmirësuar për Privatësinë, i cili nuk u përhap për email-in, por la pas një format të shkëlqyer teksti për të. transporti i të dhënave kriptografike në një format të rehatshëm, të lexueshëm dhe të lehtë për t’u kopjuar/ngjitur.

Në praktikë, skedarët me zgjerime .pem, .crt, .cer ose .key Në sistemet Unix/Linux, ato zakonisht janë skedarë PEM. Zakonisht, .key përmban çelësin privat, .crt ose .cer përmban certifikatën e serverit dhe ndonjëherë një skedar shtesë PEM përfshin zinxhirin e ndërmjetëm CA.

Formati DER: binar i pastër dhe i thjeshtë

DER (Rregullat e Dalluara të Kodimit) është formati i kodimit binar të strukturave ASN.1 që përshkruajnë një certifikatë X.509. Nuk është tekst, kështu që nëse e hapni me një redaktues do të shihni karaktere të çuditshme në vend të vargut tipik Base64.

Një skedar DER mund të përmbajë çdo lloj certifikate ose çelësi privatZakonisht identifikohet nga shtesat .der ose .cer, veçanërisht në mjediset Windows ose në platformat Java. Në Windows, një skedar .der njihet direkt si skedar certifikate dhe hapet me shikuesin vendas kur klikohet dy herë.

Dallimi praktik me PEM është se, ndërsa PEM mund të kopjohet dhe dërgohet lehtësisht me email ose ngjitet në formularë në internet, DER është një blob binar i mbyllur I projektuar për konsum të drejtpërdrejtë nga aplikacionet. Megjithatë, në brendësi, informacioni është i njëjtë: një PEM nuk është gjë tjetër veçse një DER i ri-koduar në tekst Base64.

Mjete si OpenSSL ju lejojnë të kaloni nga DER në PEM dhe anasjelltas me një komandë të vetme, pa ndryshuar fare përmbajtjen logjike të certifikatës, vetëm formën e përfaqësimit të saj.

Zgjerimet .cer dhe .crt: i njëjti qen me një qafore të ndryshme

Shtojcat .cer dhe .crt përdoren për të përcaktuar skedarë që përmbajnë certifikata publike, zakonisht në formatin PEM ose DER, varësisht nga sistemi në të cilin gjenerohen ose instalohen.

Në raste të tilla, një skedar .crt në një server Apache do të jetë një i certifikuar në PEM i rrethuar nga kokat BEGIN/END CERTIFICATE dhe gati për t'u ngjitur në një bllok konfigurimi. Në Windows, një skedar .cer mund të jetë PEM ose DER, megjithëse zakonisht bie në të dyja kategoritë në varësi të mjetit që e gjeneroi atë.

Gjëja e rëndësishme për t'u kuptuar është se zgjerimi nuk e përcakton në mënyrë strikte formatin e brendshëm: një skedar .cer mund të jetë tekst PEM ose binar DER, dhe një shikues ose program si OpenSSL do të përcaktojë se si ta lexojë atë. Në shfletuesit dhe sistemet Windows, klikimi i dyfishtë do të hapë... shikuesi i certifikataveku mund të shihni lëshuesin, subjektin, datat e vlefshmërisë, përdorimin e çelësit, etj.

Kur eksportoni një certifikatë pa një çelës privat nga një shfletues ose nga dyqani i certifikatave të Windows, normalisht do të merrni një skedar .cer, i cili përdoret për validoni nënshkrimet, zinxhirët e besimit ose enkriptoni informacioninpor kurrë të mos nënshkruani në emër të pronarit (për këtë ju nevojitet çelësi privat, i cili është i veçantë ose brenda një ene të mbrojtur).

CSR, KEY, CA dhe skedarët e ndërmjetëm: skedarët e tjerë që shoqërojnë certifikatën

Kur përpunoni një certifikatë SSL ose një certifikatë personale, nuk do të shihni vetëm skedarë .pfx, .p12 ose .cer. I gjithë procesi përfshin edhe skedarë si Certifikata .csr, .key ose CA (rrënja dhe ndërmjetësit), të cilët janë po aq të rëndësishëm që gjithçka të funksionojë.

Kërkesa për nënshkrim ose Përgjegjësia Sociale e Korporatave (.csr) Është një skedar që zakonisht e gjeneroni në serverin ku do të instalohet certifikata SSL. Ai përmban çelësin publik, emrin e domenit, organizatën, vendin dhe informacione të tjera që autoriteti i certifikimit do të përdorë për të lëshuar certifikatën. Ai ndjek standardin PKCS#10 dhe zakonisht është i koduar në PEM, kështu që mund ta kopjoni dhe ngjisni në formularin e ofruesit.

Çelësi privat ose KYÇ (.key) Ky është skedari ku ruhet çelësi sekret i lidhur me certifikatën. Zakonisht është në formatin PEM, i kufizuar nga BEGIN PRIVATE CELULAR dhe END PRIVATE CELULAR. Është një skedar jashtëzakonisht i ndjeshëm që nuk duhet të ndahet ose ngarkohet në depo publike dhe, në shumë raste, është gjithashtu i mbrojtur me fjalëkalim.

Dosja e CA ose certifikatë autoriteti Ai përmban çelësin publik të entitetit që lëshon ose ndërmjetëson certifikatën. Shfletuesit dhe sisteme operative Ato vijnë me një listë të parazgjedhur të CA-ve të besuara, por ndonjëherë ju duhet të instaloni certifikata të ndërmjetme për të përfunduar zinxhirin e besimit në mënyrë që klientët të mund të validojnë certifikatën e serverit tuaj pa gabime.

Këto certifikata të ndërmjetme mund të ofrohen si skedarë PEM (.pem, .crt, .cer) ose brenda një kontejneri si p.sh. .p7bNë konfigurimet e hostimit, është shumë e zakonshme të kërkohet CRT (certifikata e domenit), KEY (çelësi privat) dhe skedarët e certifikatës CA ose të ndërmjetme për të instaluar siç duhet SSL-në.

PKCS#7 / P7B: zinxhir certifikate pa çelës privat

PKCS#7, zakonisht përfaqësohet me zgjerime .p7b ose .p7cËshtë një format i projektuar për të grupuar një ose më shumë certifikata në një kontejner të strukturuar, pa përfshirë çelësin privat. Përdoret zakonisht për shpërndani zinxhirët e certifikatave (certifikatë serveri plus ato të ndërmjetme) në mjedise Windows ose Java (Tomcat, keystore, etj.).

Një skedar .p7b zakonisht kodohet në Base64 ASCII, ngjashëm me një skedar PEM, dhe fillimisht u përcaktua në RFC 2315 si pjesë e standardeve të kriptografisë me çelës publik. Sot, pasardhësi i tij është CMS (Sintaksa e Mesazheve Kriptografike), por emri PKCS#7 përdoret ende gjerësisht në botën e certifikatave SSL.

Ky format është shumë i dobishëm kur keni nevojë instaloni të gjithë zinxhirin e besimit në një server ose në një sistem që menaxhon certifikatat përmes një depoje (për shembull, depoja e çelësave Java). Në mënyrë tipike, një ofrues SSL do të dorëzojë certifikatën e serverit nga njëra anë dhe një skedar .p7b me të gjithë zinxhirin CA nga ana tjetër, ose një skedar të vetëm .p7b që përmban gjithçka.

Nëse doni të konvertoni një skedar .p7b në PEM, mjete si OpenSSL ju lejojnë të nxirrni certifikatat me një komandë të vetme dhe t'i ruani ato në një ose më shumë skedarë teksti. Më pas mund t'i ndani blloqet BEGIN/END CERTIFICATE nëse duhet t'i ngarkoni veçmas në serverin tuaj.

Është e rëndësishme të theksohet se një skedar PKCS#7 nuk përmban kurrë çelësin privatPrandaj, në vetvete nuk është i dobishëm për nënshkrimin ose deshifrimin: ai vetëm ofron pjesën publike të zinxhirit të certifikatave për të validuar besimin.

PKCS#12: Çfarë janë saktësisht .pfx dhe .p12?

Standardi PKCS#12 përcakton një kontejner binar të mbrojtur me fjalëkalim që mund të përfshijë certifikata publike, zinxhirë të plotë CA dhe çelës privat të shoqëruara. Zgjerimet më të zakonshme për këtë format janë .pfx dhe .p12, të cilat janë praktikisht ekuivalente.

Historikisht, PKCS#12 filloi si një format i lidhur ngushtë me Microsoft-in, por me el tiempo U standardizua në RFC 7292 dhe përdoret sot në të gjitha llojet e sistemeve, pikërisht sepse lejon transportoni në mënyrë të sigurt çiftin e certifikatës + çelësit privat nga një ekip në tjetrin.

Në botën e Windows, kur eksportoni një certifikatë "çelës privat" nga depoja e certifikatave të përdoruesit ose të makinës, asistenti gjeneron një skedar .pfx (ose .p12) që përfshin gjithçka që ju nevojitet për ta importuar atë në një sistem tjetër: çelësin privat, mbajtësin e certifikatës dhe zakonisht zinxhirin e ndërmjetëm.

Gjatë krijimit ose eksportimit të një skedari PKCS#12, sistemi do t'ju kërkojë të specifikoni një mbrojtje me fjalëkalimKy fjalëkalim do të kërkohet më vonë për të importuar skedarin në një shfletues tjetër, IIS, një klient email-i apo edhe në një sistem tjetër operativ. Në këtë mënyrë, nëse dikush vjedh skedarin .pfx, nuk do të jetë në gjendje ta përdorë atë pa e ditur atë fjalëkalim.

Mjete si OpenSSL ju lejojnë të konvertoni një skedar .pfx ose .p12 në PEM, kështu që merrni një skedar teksti ku mund të gjeni lehtësisht bllokun e çelësit privat, certifikatën e serverit dhe certifikatat e ndërmjetme, dhe t'i kopjoni ato aty ku është e përshtatshme (për shembull, në një panel pritës që pranon vetëm CRT, KEY dhe CA veçmas).

Rinovimi, eksportimi dhe importimi i certifikatave .pfx dhe .p12

Në fushën e certifikatave personale (për shembull, ato të lëshuara nga FNMT ose autoritete të tjera për qëllime identifikimi), mënyra e krijimit të kopjeve rezervë dhe rinovimit të tyre është e lidhur ngushtë me përdorimin e Skedarët .pfx ose .p12, të cilat udhëtojnë në karta kriptografike, tokena USB ose direkt si skedarë të mbrojtur në kompjuter.

Nëse certifikata juaj personale nuk ka skaduar ende, shumë autoritete lejojnë Rinovoje onlineRinovimi aktivizohet nga pika e regjistrimit (shoqata profesionale, kompania, ofruesi i shërbimit të certifikimit, etj.) dhe ju merrni një lidhje me email për të përfunduar procesin nga kompjuteri juaj.

Megjithatë, nëse certifikata ka skaduar tashmë, normalisht do t'ju duhet marr pjesë personalisht Shkoni në të njëjtën pikë regjistrimi me kartën ose pajisjen tuaj kriptografike ku ruhet certifikata e skaduar, identifikohuni dhe kërkoni një lëshim të ri, të cilin mund ta eksportoni përsëri në formatin .pfx ose .p12 për ta importuar kudo që të keni nevojë.

Në shfletues si Edge ose ChromeProcesi i importit kalon nëpër Dyqani i certifikatave të WindowsNga cilësimet e privatësisë dhe sigurisë, mund të hapni menaxherin e certifikatave, të zgjidhni skedën Personale dhe të importoni një skedar .pfx ose .p12. Ndihmësi do të kërkojë fjalëkalimin e kontejnerit dhe do t'ju ofrojë ta shënojë çelësin si të eksportueshëm për kopje rezervë të ardhshme.

Nëse në vend të një skedari .pfx keni një skedar .cer pa çelës privat (ikona e certifikatës pa çelës), ai skedar është i dobishëm vetëm për instaloni certifikatën publike (shfaqet te "Persona të tjerë"), por jo për nënshkrim ose autentifikim. Në këtë rast, nuk do të jeni në gjendje të merrni çelësin privat që andej, dhe nëse nuk keni një kopje tjetër të vlefshme, e vetmja mundësi do të jetë të kërkoni një certifikatë të re.

Si përdoren këto formate në certifikatat SSL të serverit

Në punën e përditshme me serverat web, VPNPavarësisht nëse përdoren proxy apo aplikacione Java, formatet e ndryshme të certifikatave të përdorura varen nga sistemi dhe lloji i instalimit. Konfigurimi i Apache në Linux nuk është i njëjtë me konfigurimin e IIS në Windows ose Tomcat në Java.

Në mjediset Unix/Linux (Apache, Nginx, HAProxy, etj.) është normale të punohet me Skedarët PEM skedarë të veçantë: një për çelësin privat (.key), një tjetër për certifikatën e serverit (.crt ose .cer) dhe ndonjëherë edhe një tjetër me vargun e ndërmjetëm CA. Të gjitha këto referohen në konfigurimin e serverit për të krijuar TLS.

Në platformat Windows (IIS, shërbime të desktopit në distancë, etj.) është shumë e zakonshme të kërkohet një .pfx ose .p12 që përmban si certifikatën ashtu edhe çelësin privat dhe zinxhirin. Magjistari i importimit kujdeset për vendosjen e secilës pjesë në depon përkatëse, kështu që nuk keni pse të shqetësoheni për detajet e brendshme.

Në mjediset Java (Tomcat, aplikacionet me ruajtjen e tyre të çelësave) dyqanet e tipit JKS ose PKCS#12Në shumë raste, një skedar .pfx importohet direkt, ose certifikatat .p7b përdoren për të konfiguruar zinxhirin e besimit brenda një depoje çelësash, varësisht nga mjeti dhe versioni i Java-s.

Kur blini një certifikatë SSL nga një ofrues i palës së tretë, mund të merrni kombinime të ndryshme skedarësh: një skedar CRT + CA në formatin PEM, një skedar .p7b që përmban vargun ose edhe një skedar .pfx të përgatitur paraprakisht. Çelësi është të identifikoni llojin e saktë të skedarit. Ku është çelësi privat? (nëse vjen me ju dhe nuk gjenerohet nga serveri) dhe cili skedar përmban certifikatën e serverit dhe zinxhirin e ndërmjetëm.

Në panelet e kontrollit të hostimit, zakonisht do t'ju kërkohet të plotësoni fushat për CRT, KEY dhe, opsionalisht, për certifikatën CA ose certifikatën e ndërmjetme. Nëse keni vetëm një skedar .pfx, mund ta konvertoni atë në PEM duke përdorur OpenSSL dhe të nxirrni çdo bllok prej andej, duke kopjuar me kujdes nga BEGIN në END të secilit lloj.

Konvertimi midis formateve të certifikatave me OpenSSL

Pasi të kuptoni se çfarë është secili skedar, hapi tjetër logjik është të dini si t'i konvertoni ato Kur serveri ose aplikacioni kërkon një format të ndryshëm nga ai i ofruar nga ofruesi juaj i shërbimit të internetit (ISP) ose ofruesi i shërbimit të autorizimit (CA), mjeti standard për këtë është OpenSSL, i disponueshëm në shumicën e shpërndarjeve të Linux dhe gjithashtu i instalueshëm në Windows.

Për shembull, nëse keni një certifikatë në DER (.der, .cer) Dhe nëse keni nevojë ta konvertoni në PEM, një komandë e vetme që e merr atë skedar binar dhe e rikodon atë në Base64 me header-at e duhur do të mjaftonte. Në mënyrë të ngjashme, ju mund ta transformoni një PEM në DER nëse sistemi juaj pranon vetëm skedar binar.

Me një skedar PKCS#7 (.p7b), mund të përdorni OpenSSL për të nxjerr certifikatat në formatin PEM me një komandë të thjeshtë që printon certifikatat e përfshira dhe i ruan ato në një skedar teksti. Prej andej, ju ndani blloqet e ndryshme BEGIN/END CERTIFICATE nëse keni nevojë për skedarë individualë.

Në rastin e PKCS#12 (.pfx, .p12), OpenSSL ju lejon të konvertoni kontejnerin në një skedar PEM që përmban çelësin privat dhe të gjitha certifikatat. Gjatë procesit, do t'ju kërkohet fjalëkalimi i kontejnerit dhe mund të zgjidhni nëse do ta lini çelësin privat të enkriptuar apo në tekst të thjeshtë brenda skedarit PEM, varësisht nga përdorimi i tij i synuar.

Këto lloje konvertimesh bëjnë të mundur skenarë të tillë si ngarkimi i një skedari .pfx në një server Linux, konvertimi i tij në PEM dhe më pas CRT dhe KEY i veçantë për të plotësuar një formular instalimi SSL që nuk mbështet drejtpërdrejt kontejnerët PKCS#12.

Përveç konvertimeve të drejtpërdrejta DER↔PEM, PEM↔PKCS#7, PKCS#7↔PKCS#12 dhe PKCS#12↔PEM, i njëjti program mund të gjenerojë CSR, të menaxhojë çelësat, të inspektojë certifikatat dhe të kontrollojë datat e skadimit, duke e bërë atë një mjet bazë në çdo mjedis që punon me certifikata.

Llojet e certifikatave dixhitale dhe fushat e përdorimit

Përtej formatit të skedarit, është gjithashtu e dobishme të jesh i qartë rreth llojet e certifikatave varësisht nga përdorimi i tyre ose lloji i entitetit që përfaqësojnë, pasi kjo ndikon në mënyrën se si menaxhohen kopjet rezervë, rinovimet dhe instalimet e tyre.

Në nivelin rregullator evropian (Rregullorja eIDAS), bëhet një dallim midis Certifikata elektronike "të thjeshta" dhe certifikata të kualifikuaraTë parat përmbushin kërkesat themelore të identifikimit dhe lëshimit, ndërsa të dytat kërkojnë procese më të rrepta të verifikimit të identitetit dhe kushte më rigoroze teknike dhe organizative nga ofruesi. Një shembull i qartë në Spanjë do të ishte karta elektronike e identitetit (DNIe).

Nëse shikojmë se kush është mbajtësi, mund të kemi certifikata të person fizik, person juridik ose entitet pa personalitet juridikSecili përdoret për të nënshkruar ose vërtetuar në fusha të ndryshme: përkatësisht procedurat personale, marrëdhëniet në emër të një kompanie ose detyrimet tatimore.

Në botën e serverëve web, familja më e njohur e certifikatave është ajo e Certifikatat SSL/TLSKëto certifikata instalohen në servera për të enkriptuar kanalin e komunikimit me përdoruesit. Ato përfshijnë variante të tilla si certifikatat me një domen të vetëm, me karakter të egër dhe me shumë domene (SAN), të cilat ndryshojnë në numrin e emrave që mbulojnë dhe nivelin e tyre të validimit.

Pavarësisht nga lloji, të gjitha këto certifikata mund të ruhen dhe shpërndahen në të njëjtat formate: skedarë .cer, .crt, .pem, .p7b ose kontejnerë .pfx/.p12, varësisht nga sistemi ku do të përdoren dhe metoda e zgjedhur për t'i transportuar ose ruajtur ato në kopje rezervë.

Dobia e certifikatave dixhitale është e jashtëzakonshme: Ato sigurojnë konfidencialitet dhe vërtetësi të komunikimeve, ato lejojnë nënshkrime elektronike ligjërisht të vlefshme, thjeshtojnë procedurat administrative dhe tregtare dhe bëjnë të mundur që shumë shërbime rrjeti të funksionojnë në mënyrë të sigurt pa pasur nevojë që përdoruesi të shqetësohet për detajet kriptografike.

Në këtë pikë, është e qartë se zgjerimet si .pfx, .p12, .cer ose .crt janë thjesht mënyra të ndryshme për të paketuar të njëjtën gjë: një certifikatë X.509, një çelës privat dhe, kur është e aplikueshme, një zinxhir besimi, të cilat, në varësi të mjedisit, përfaqësohen si tekst Base64, kontejnerë binarë DER ose PKCS për të lehtësuar instalimin dhe vendosjen. transporti midis sistemeve.