Formati SSL certifikata
U vezi s SSL certifikatima spominje se relativno veliki broj imena kao što su PEM, CSR, KEY, DER, itd. To su datoteke koje su praktički samo "kutije" za smještaj certifikata i njegovih ključeva. Velik broj formata nastao je postupno zbog različitih implementacija u operativnim sustavima ili aplikacijama, a neki su standardizirani u RFC-u.
CSR (.csr)
Certificate Signing Request (CSR) je zahtjev za certifikat koji se predaje certifikacijskoj autoriteti za certifikaciju. Zahtjev se može generirati izravno na poslužitelju, u aplikaciji OpenSSL ili ga možete jednostavno generirati u detaljima narudžbe prema ovom priručniku, uključujući privatni ključ, nakon narudžbe SSL certifikata. Format zahtjeva je prema PKCS # 10 (Public Key Cryptography Standards) i definiran je u RFC 2986 (Certification Request Syntax Specification). CSR zahtjev sadrži potrebne informacije za izdavanje certifikata. To su naziv domene, organizacija, država i također javni ključ koji certifikacijska autoriteta potvrđuje. Format kodiranja CSR-a koji se umeće u narudžbu i šalje certifikacijskoj autoriteti je PEM. Struktura informacija u zahtjevu definira se korištenjem ASN.1 (apstraktna notacija sintakse).
Nakon izdavanja certifikata i potpisa od strane certifikacijske autoritete, certifikat se već isporučuje iz autoriteta u drugim formatima, kao što su CRT, p7b. Često se također šalje izravno e-poštom u txt PEM formatu, zajedno s informacijama o izdavanju SSL certifikata.
Ne preporučujemo stvaranje zahtjeva za certifikat i privatni ključ na nepoznatim internetskim stranicama.
U našoj pomoći objavljujemo upute o kako generirati CSR i privatni ključ u OpenSSL-u.
PEM (.pem)
Jedan od najčešće korištenih formata za pohranu SSL/TLS certifikata. To je spremnik za pohranu tekstualno kodiranih kriptografskih podataka (ključeva i certifikata) i omogućuje jednostavno slanje e-poštom, definiran je u RFC 1421 do 1424. Može sadržavati zaseban javni certifikat, ali i javni certifikat plus CA certifikate ili može sadržavati cijeli set certifikata uključujući javni ključ, privatni ključ i root certifikate izdajuće certifikacijske autoritete. Certificate Signing Request (CSR) također se isporučuje u PEM formatu, koji je konvertiran iz PKCS10 formata.
Naziv je nastao od skraćenice Privacy-enhanced Electronic Mail (PEM), što je bio standard za sigurnost e-pošte. Glavna bit PEM formata je rekodiranje binarnog formata (tj. jedinica i nula) metodom base64 i dodavanje informativnog zaglavlja i podnožja -----BEGIN PRIVATE KEY----- i -----END PRIVATE KEY----- ili -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.
Primjer izdanog certifikata u PEM formatu
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Ovu tekstualnu niz možete dekodirati, na primjer na ovoj stranici, gdje možete pronaći informacije o certifikatu (valjanost, informacije u certifikatu, autoritet i mnogo više).
PEM datoteke su kodirane u Base64 formatu, koji je kodiranje koje pretvara binarne podatke u sekvencu ispisivih ASCII znakova (64-elementni skup znakova koji se sastoji od velikih i malih slova engleske abecede, brojeva i znakova plus ('+') i kosa crta ('/')). PEM datoteke su vrlo jednostavne za rad, jer imaju sadržaj u čitljivom tekstualnom formatu i mogu se otvoriti u bilo kojem uredniku. Pojedinačni certifikati su tada jasno odvojeni zaglavljem i podnožjem. Više o PEM formatu u WIKI ...
PFX (.pfx) / PKCS #12 format
.pfx, ali i .p12 ili .pkcs12 su formati definirani u Public-Key Cryptography Standards (PKCS standardima). To je format spremnika s lozinkom koji sadrži i javne i privatne certifikate. Za razliku od .pem datoteka, spremnik je potpuno šifriran. PKCS#12 (.p12) je izvorno bio privatni Microsoft standard koji je kasnije definiran u RFC 7292. Pruža poboljšanu sigurnost u odnosu na PEM tekstualni format.
Na format PFX nailazimo uglavnom na Windows platformi. Ako zahtjev za certifikat nije generiran izravno u Internet Information System (IIS), potrebno je administratoru poslužitelja dostaviti certifikat u PFX formatu za uvoz na poslužitelj. Za ove slučajeve, objavljujemo upute u pomoći o kako izvesti certifikat u PFX koristeći OpenSSL.
Certifikati za potpisivanje koda i elektronički potpisi također se izvoze u .p12 / .pfx datoteku.
.pfx i .p12 datoteke su de facto identične, a ako trebate p12 datoteku umjesto pfx, možete pročitati da je dovoljno preimenovati je. To ne funkcionira uvijek tako jednostavno. Više možete saznati u raspravi na stackoverflow.com.
KEY (.key)
.key datoteka sadrži certifikat u PEM formatu i sadrži samo privatni ključ certifikata. Privatni ključ je zatvoren u nizovima ----- BEGIN PRIVATE KEY ----- i ----- END PRIVATE KEY -----. Ova datoteka se može otvoriti u bilo kojem tekstualnom uredniku.
Ne postoji standardizacija za .key format i de facto je to oznaka datoteke s privatnim ključem.
DER (.der)
DER (Distinguished Encoding Rules). Binarna datoteka (niz nula i jedinica) koja sadrži pohranjene informacije o certifikatu. Sadrži SSL certifikat ili cijeli root-chain put (međuprostorni certifikati) i može također sadržavati privatni ključ. Koristi se u Unix svijetu ili na Java platformama, u Windowsima se .der datoteka automatski smatra vlasnikom certifikata. DER je defektna binarna verzija base64 kodirane PEM datoteke.
CRT (.crt)
.crt datoteka sadrži SSL certifikat u PEM formatu. Mogu se otvoriti s bilo kojim tekstualnim urednikom, a certifikat je zatvoren u oznakama ----- BEGIN CERTIFICATE ----- i ----- END CERTIFICATE -----.
U Windowsima, kada dvaput kliknete na datoteku i prihvatite upozorenje, automatski se otvara prozor s detaljima certifikata. Ako preimenujete .crt datoteku u .txt, dvostrukim klikom otvarate tekstualni urednik s PEM sadržajem.
P7B (.p7b)
P7B format sadrži javni ključ i međuprostorne certifikate certifikacijske autoritete. Ne sadrži privatni ključ. P7B / PKCS # 7 format je spremljen u Base64 ASCII formatu i datoteka ima ekstenziju .p7b ili .p7c. Definiran je u RFC 2315 kao PKCS broj 7. Format koji koristi Windows. Java koristi .keystore. Moguće je definirati hijerarhiju certifikata za ove spremnike.
CER (.cer), CERT (.cert)
Ovo je drugačija ekstenzija .pem datoteke. Koristi se za označavanje izdanog certifikata. Pohranjeni certifikat u PEM formatu je ograničen zaglavljem i podnožjem ----- BEGIN CERTIFICATE ----- i ----- END CERTIFICATE -----.
Ostali tipovi datoteka i formati
CRL
Certificate Revocation List (CRL) - popis opozvanih certifikata. Certifikacijske autoritete objavljuju popise opozvanih certifikata na ovim popisima.
RFC 7468
Predloženi standard RFC 7468 (Textual Encodings of PKIX, PKCS, and CMS Structures) opisuje i standardizira tekstualno kodiranje PKI (Public-Key Infrastructure X.509), PKCS (Public-Key Cryptography Standards) i CMS (Cryptographic Message Syntax).
Što dalje?
Povratak na pomoć
Našli ste grešku ili ne razumete nešto? Pišite nam!