Es ist ziemlich einfach zu verstehen, was ein SSL-Zertifikat ist und wie es funktioniert. Aber wenn es darum geht, es auf einem Server zu installieren, kann es manchmal so aussehen, als ob Sie es mit Raketenwissenschaft zu tun hätten.
Bei so vielen SSL-Zertifikatsformaten, die an bestimmte Serveranforderungen gebunden sind, werden Sie eher verwirrt und frustriert sein, als dass Sie Ihr Zertifikat von Anfang an richtig konfigurieren. Aber das wird sich bald ändern.
In diesem umfassenden Leitfaden nehmen wir die einzelnen SSL-Zertifikatsformate und Zertifikatsdateierweiterungen unter die Lupe und zeigen Ihnen zwei Möglichkeiten, wie Sie verschiedene Dateitypen konvertieren können.
Inhaltsübersicht
- Zertifikatsdateiformate – Die Grundlagen
- SSL-Zertifikate Formate und Dateierweiterungen
- SSL-Format-Konvertierung
Zertifikatsdateiformate – Die Grundlagen
Lassen Sie uns mit den Grundlagen beginnen. Alle SSL-Zertifikate sind x.509-Zertifikate. Dies ist das Standardformat für Public-Key-Zertifikate, das in einer formalen Sprache namens Abstract Syntax Notation One ausgedrückt wird. Wir werden nicht weiter auf die X.509-Struktur eingehen; Sie können sie im Wiki nachlesen. Hier geht es um SSL-Zertifikatsformate wie DER, PEM, PKCS#7 und PKCS#12.
Eine einfache Möglichkeit, sie zu unterscheiden, ist ein Blick auf ihre Kodierung.
PEM und PKCS#7 verwenden die Base ASCII-Kodierung (American Standard Code for Information Interchange). Dies ist ein beliebter Standard für Dateien, die Text enthalten.
DER und PKCS#12 verwenden eine binäre Kodierung, ein Zahlensystem zur Basis 2, das nur aus Nullen und Einsen besteht.
Wegen der unterschiedlichen Formate und Kodierungen haben SSL-Zertifikate viele Dateierweiterungen.
SSL-Zertifikatsformate und Dateierweiterungen
Zu den SSL-Zertifikatsformaten gehören PEM, DER, PFX und PKCS#7, die jeweils spezifische Anwendungsfälle haben. Übliche Dateierweiterungen sind:
| Format | Erweiterung | Beschreibung |
|---|---|---|
| PEM | .pem, .crt, .cer | Base64-kodiert, verwendet in Unix/Linux-Systemen |
| DER | .der, .cer | Binäres Format, verwendet in Windows |
| PFX/PKCS#12 | .pfx, .p12 | Speichert Zertifikat und privaten Schlüssel, die in Windows verwendet werden |
| PKCS#7 | .p7b, .p7c | Zertifikatskette, verwendet in Java-Umgebungen |
Schauen wir uns die einzelnen Formate und ihre SSL-Zertifikatsdateierweiterungen genauer an. Sie erfahren, was die einzelnen Akronyme bedeuten und in welchem System sie am häufigsten verwendet werden.
DER-Format
DER steht für Distinguished Encoding Rules, ein binäres Kodierungsformat, das außerhalb von Windows selten verwendet wird. Es ist in .der- oder .cer-Dateien enthalten.
PEM-Format
PEM ist das am weitesten verbreitete SSL-Zertifikatsformat und dasjenige, dem Sie wahrscheinlich begegnen werden. Die meisten Zertifizierungsstellen bieten SSL-Zertifikate im PEM-Format mit verschiedenen Zertifikatsdateierweiterungen wie .pem, .crt, .cer oder .key an.
PEM steht für Privacy-Enhanced Email, und Sie fragen sich vielleicht, was Email mit einem SSL-Zertifikat zu tun hat? Lange Rede, kurzer Sinn: PEM hat bei seiner eigentlichen Aufgabe versagt, aber als Containerformat seine Anwendung gefunden.
Im Wesentlichen handelt es sich bei PEM-Dateien um Base64-kodierte DER-Dateien, bei denen Nullen und Einsen in einer Folge von druckbaren Zeichen kodiert sind. Auf diese Weise können Sie sie mit einem beliebigen Texteditor, einschließlich Notepad, öffnen.
Eine einzige .pem-Datei kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel enthalten. Alternativ können Sie Ihre Server- und Zwischenzertifikate in einer separaten .crt- oder .cer-Datei erhalten, während sich Ihr privater Schlüssel in einer .key-Datei befinden kann.
PKCS#7-Format
PKCS steht für Public Key Cryptography Standards.
PKCS#7 ist ein vielseitig einsetzbares SSL-Zertifikatsformat für die Verbreitung verschlüsselter Daten. Es wird hauptsächlich auf Windows-Plattformen und Java Tomcat verwendet.
Heute verwenden wir eigentlich seinen Nachfolger CMS (Cryptographic Message Syntax), aber genau wie bei SSL und TLS ist der alte Name zu vertraut geworden, um ihn zu ersetzen.
PKSC#7 hat zwei Dateierweiterungen: .p7b, oder p7c. Anders als PEM kann PKCS#7 keine privaten Schlüssel speichern, sondern nur Primär- und Zwischenzertifikate.
PKCS#12-Format
PKCS#12 ist ein weiterer öffentlicher Kryptographiestandard mit verbesserter Sicherheit. Genau wie eine PEM-Datei kann er die gesamte SSL-Zertifikatskette und das Schlüsselpaar in einer einzigen .pfx-Datei enthalten. Der Hauptunterschied besteht darin, dass PCKS#12 ein passwortgeschützter Container ist.
Einige Serversysteme fordern Sie während der CSR-Generierung zur Eingabe eines Passworts auf, das Sie zum Öffnen von .pfx-Dateien verwenden können.
SSL-Format-Konvertierung
Nun, da Sie die SSL-Zertifikatsformate und ihre verschiedenen Dateierweiterungen kennen, ist es an der Zeit, Ihnen zu zeigen, worauf Sie wirklich gewartet haben – wie Sie ein SSL-Zertifikat in ein beliebiges Format konvertieren können.
Wie bei den meisten Dateikonvertierungen gibt es auch hier verschiedene Vorgehensweisen. Am schnellsten geht es, wenn Sie ein automatisches SSL-Konvertierungstool verwenden. Sie müssen nur den gewünschten Vorgang auswählen, z. B. die Konvertierung von PEM in PKCS#7, die Dateien hochladen und dann auf Konvertieren klicken.
Alternativ können Sie auch die kostenlose OpenSSL-Softwarebibliothek verwenden, um Ihre SSL-Dateien zu konvertieren. Dieses Dienstprogramm aktiviert das SSL/TLS-Protokoll auf fast allen existierenden Servern. Auf vielen Plattformen und Linux-Distributionen ist das OpenSSL-Dienstprogramm bereits vorinstalliert. Für Windows müssen Sie sich das Installationspaket besorgen.
X.509 in PEM umwandeln
Um X.509 in PEM umzuwandeln, führen Sie den folgenden Befehl in OpenSSL aus:
openssl x509 -in Bescheinigungsname.cer -outform PEM -out Bescheinigungsname.pem
DER in PEM konvertieren
Binäre Kodierung in Base64 ASCII.
Um DER in PEM zu konvertieren, führen Sie den folgenden Befehl aus:
openssl x509 -inform der -in Bescheinigungsname.der -out Bescheinigungsname.pem
PEM in DER umwandeln
Base65 ASCII zu binärer Kodierung.
Um PEM in DER zu konvertieren, führen Sie den folgenden Befehl aus:
openssl x509 -inform der -in Bescheinigungsname.der -out Bescheinigungsname.pem
PEM in PKCS#7 konvertieren
Die .p7b-Datei enthält nicht den privaten Schlüssel.
Um PEM in PKCS#7 zu konvertieren, führen Sie den folgenden Befehl aus:
openssl crl2pkcs7 -nocrl -certfile certificatename.pem -out certificatename.p7b -certfile CACert.cer
PKCS#7 in PEM umwandeln
Um PKCS#7 in PEM zu konvertieren, führen Sie den folgenden Befehl aus:
openssl pkcs7 -print_certs -in zertifikatname.p7b -out zertifikatname.pem
PKCS#12 in PEM konvertieren
Die PKCS#12-Datei ist passwortgeschützt.
Um PKCS#12 in PEM zu konvertieren, führen Sie den folgenden Befehl aus:
openssl pkcs12 -in zertifikatname.pfx -out zertifikatname.pem
PKCS7 in PKCS12 umwandeln
Dies erfordert zwei Schritte. Sie konvertieren zunächst die P7B-Datei in CER und kombinieren dann CER und privaten Schlüssel zu PFX.
- openssl pkcs7 -print_certs -in zertifikatname.p7b -out zertifikatname.cer
- openssl pkcs12 -export -in certificatename.cer -inkey privateKey.key -out certificatename.pfx -certfile cacert.cer
Das war’s dann auch schon. Jetzt können Sie jede Art von SSL-Datei schnell konvertieren und auf Ihrem Server installieren.
Schlussfolgerung
Das Verständnis von SSL-Zertifikatsformaten, Zertifikatsdateierweiterungen und deren Konvertierung in die gewünschte Konfiguration ist eine wertvolle Fähigkeit, die Ihnen helfen wird, SSL-Zertifikate nahtlos auf jedem System zu installieren.
Die Wahl des richtigen SSL-Formats gewährleistet eine kontinuierliche Verschlüsselung und sichere Verbindungen auf Webservern, E-Mail-Clients, VPN-Geräten und Netzwerken.
Häufig gestellte Fragen
Die für eine exportierte Zertifikatssicherungsdatei verwendete Dateierweiterung variiert je nach Format und Typ des Zertifikats. Die gängigsten Zertifikatssicherungsdateien sind .p12 und .pfx (Windows-Systeme), .cer und .crt sowie .key für die Sicherung des privaten Schlüssels.
Link kopieren
Apache verwendet das PEM-Zertifikatsformat mit den Dateierweiterungen .cer .crt und .key.
Link kopieren
Um ein SSL-Zertifikat im PEM-Format unter Linux zu erstellen, können Sie das OpenSSL-Toolkit und seine Befehlszeilen verwenden. Sobald Sie das SSL-Zertifikat von der Zertifizierungsstelle erhalten haben, können Sie die Datei im PEM-Format erstellen, indem Sie den privaten Schlüssel und das SSL-Zertifikat mit dem folgenden Befehl in einer einzigen Datei zusammenfügen:
cat private.key your_ssl_certificate.crt > your_ssl_certificate.pem
Link kopieren
Öffnen Sie Ihre SSL-Datei mit einem beliebigen Texteditor. Wenn Sie die Beschriftung “—–BEGIN CERTIFICATE—–” am Anfang der Zertifikatsdatei und “—–END CERTIFICATE—–” am Ende der Datei sehen, dann ist das Zertifikat im PEM-Format. Liegt das Zertifikat im DER-Format vor, enthält es diese Bezeichnungen nicht und ist stattdessen eine Binärdatei.
Link kopieren
Das PKCS#12- oder PFX-Format enthält die Zertifikate (S) und den privaten Schlüssel. Bei diesem Format werden der private Schlüssel und das zugehörige Zertifikat in einer einzigen verschlüsselten Datei gespeichert.
Link kopieren
Wir haben eine detaillierte Anleitung zum Importieren und Exportieren einer PFX-Datei in Microsoft IIS (Internet Information Services) geschrieben.
Link kopieren
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
