Este destul de ușor de înțeles ce este un certificat SSL și cum funcționează acesta. Dar, când vine vorba de instalarea pe un server, uneori poate părea că aveți de-a face cu o știință a rachetelor. Cu atât de multe formate de certificate SSL legate de cerințele specifice ale serverului, este mai probabil să vă confundați și să vă frustrați decât să vă configurați corect certificatul de la început. Dar acest lucru este pe cale să se schimbe.
În acest ghid cuprinzător, vom diseca fiecare format de certificat și vă vom arăta două moduri de a converti diferite tipuri de fișiere.
Cuprins
- Formatul fișierelor de certificat – Noțiuni de bază
- Formate și extensii de fișiere pentru certificatele SSL
- Conversia formatului SSL
- Concluzie
Formatul fișierelor de certificat – Noțiuni de bază
Să începem prin a acoperi elementele de bază. Toate certificatele SSL sunt certificate x.509. Acesta este formatul standard al certificatelor de chei publice, exprimat într-un limbaj formal numit Abstract Syntax Notation One. Nu vom aprofunda structura X.509; puteți citi despre aceasta pe Wiki. Ne aflăm aici pentru a discuta despre formate de certificate SSL precum DER, PEM, PKCS#7 și PKCS#12.
O modalitate ușoară de a le distinge este să vă uitați la codificarea lor. PEM și PKCS#7 utilizează codificarea ASCII de bază (American Standard Code for Information Interchange). Acesta este un standard popular pentru fișierele care conțin text. DER și PKCS#12 utilizează codificarea binară, un sistem numeric de bază 2 format numai din zerouri și unu. Din cauza diferitelor formate și codificări, certificatele SSL au mai multe extensii de fișiere.
Formatele și extensiile de fișiere ale certificatelor SSL
Să analizăm îndeaproape fiecare format și extensiile fișierelor de certificat SSL. Veți descoperi semnificația din spatele fiecărui acronim și ce sistem îl folosește cel mai des.
Format DER
DER este acronimul de la Distinguished Encoding Rules, un format de codare binar, rar utilizat în afara Windows. Acesta este conținut în fișierele .der sau .cer.
Format PEM
PEM înseamnă Privacy-Enhanced Email, și poate vă întrebați ce legătură are e-mailul cu un certificat SSL? Pe scurt, PEM a eșuat în activitatea sa principală, dar și-a găsit o aplicație ca format de container. În esență, fișierele PEM sunt fișiere DER codificate Base64 în care zerourile și unu sunt codificate într-o secvență de caractere imprimabile. În acest fel, le puteți deschide cu orice editor de text, inclusiv Notepad.
PEM este cel mai popular format de certificat și cel pe care îl veți întâlni cel mai probabil. Majoritatea CA-urilor oferă certificate SSL în format PEM cu diferite extensii de fișier, cum ar fi .pem, .crt, .cer sau .key.
Un singur fișier .pem poate conține certificatul serverului, certificatul intermediar și cheia privată. Alternativ, puteți primi certificatele server și intermediar într-un fișier .crt sau .cer separat, în timp ce cheia privată poate fi într-un fișier .key.
Formatul PKCS#7
PKCS înseamnă Public Key Cryptography Standards (standarde de criptografie cu cheie publică).. PKCS#7 este un format multifuncțional pentru distribuirea de date criptate. Este utilizat în principal pe platformele Windows și Java Tomcat. Astăzi, folosim de fapt succesorul său CMS (Cryptographic Message Syntax), dar, la fel ca în cazul SSL și TLS, vechiul nume a devenit prea familiar pentru a fi înlocuit. PKSC#7 are două extensii de fișier: .p7b, sau p7c. Spre deosebire de PEM, PKCS#7 nu poate stoca chei private, ci doar certificate primare și intermediare.
Formatul PKCS#12
PKCS#12 este un alt standard public de criptografie cu securitate sporită. La fel ca un fișier PEM, acesta poate include întregul lanț de certificate SSL și perechea de chei într-un singur fișier .pfx. Principala diferență constă în faptul că PCKS#12 este un container protejat prin parolă. Unele sisteme de server vă solicită să introduceți o parolă în timpul procesului de Generația CSR, și îl puteți utiliza pentru a deschide fișiere .pfx.
Conversia formatului SSL
Acum că știți care sunt formatele certificatelor SSL și multiplele lor extensii de fișiere, este timpul să vă dezvăluim ceea ce așteptați cu adevărat – cum să convertiți un certificat SSL în orice format.
La fel ca în cazul majorității conversiilor de fișiere, există diferite moduri de abordare. Cel mai rapid este să folosiți un instrument de conversie automată SSL. Tot ce trebuie să faceți este să alegeți operațiunea dorită, de exemplu, conversia PEM în PKCS#7, să încărcați fișierele și apoi să apăsați Convert.
Alternativ, puteți utiliza biblioteca software gratuită OpenSSL pentru a converti fișierele SSL. Acest utilitar activează protocolul SSL/TLS pe aproape orice server existent. Multe platforme și distribuții Linux vin cu utilitarul OpenSSL preinstalat. Pentru Windows, va trebui să obțineți pachetul de instalare.
În OpenSSL, rulați următoarele comenzi pentru a converti certificatele:
Conversia X.509 în PEM
openssl x509 -in numecertificat.cer -outform PEM -out numecertificat.pem
Conversia DER în PEM (Codificare binară în Base64 ASCII)
openssl x509 -inform der -in numecertificat.der -out numecertificat.pem
Conversia PEM în DER (codificare Base65 ASCII în codificare binară)
openssl x509 -inform der -in numecertificat.der -out numecertificat.pem
Conversia PEM în PKCS#7 (fișierul .p7b nu include cheia privată)
openssl crl2pkcs7 -nocrl -certfile certificatename.pem -out certificatename.p7b -certfile CACert.cer
Conversia PKCS#7 în PEM
openssl pkcs7 -print_certs -in numecertificat.p7b -out numecertificat.pem
Conversia PKCS#12 în PEM (fișierul PKCS#12 este protejat de o parolă)
openssl pkcs12 -in numecertificat.pfx -out numecertificat.pem
Conversia PKCS7 în PKCS12
Acest lucru necesită două etape. Mai întâi veți converti fișierul P7B în CER și apoi veți combina CER și cheia privată în PFX.
- openssl pkcs7 -print_certs -in numecertificat.p7b -out numecertificat.cer
- openssl pkcs12 -export -in certificatename.cer -inkey privateKey.key -out certificatename.pfx -certfile cacert.cer
Cam asta e tot. Acum puteți converti și instala rapid pe serverul dvs. orice tip de fișier SSL.
Concluzie
Înțelegerea formatelor de certificate SSL, a extensiilor de fișiere și a modului de a le converti în configurația dorită este o abilitate valoroasă care vă va ajuta să instalați fără probleme certificate SSL pe orice sistem. Alegerea formatului SSL potrivit va asigura o criptare constantă și conexiuni sigure pe serverele web, clienții de e-mail, dispozitivele VPN și rețelele.
Întrebări frecvente
Extensia de fișier utilizată pentru un fișier de rezervă a certificatului exportat variază în funcție de formatul și tipul certificatului. Cele mai frecvente fișiere de backup de certificate sunt .p12 și .pfx (sisteme Windows), .cer și .crt, precum și .key pentru backupul cheii private.
Copiați link-ul
Apache utilizează formatul de certificat PEM cu extensiile de fișier .cer .crt și .key.
Copiați link-ul
Pentru a crea un certificat SSL în format PEM pe Linux, puteți utiliza setul de instrumente OpenSSL și liniile de comandă ale acestuia. După ce ați primit certificatul SSL de la CA, puteți crea fișierul în format PEM prin concatenarea cheii private și a certificatului SSL într-un singur fișier, utilizând următoarea comandă:
cat private.key your_ssl_certificate.crt > your_ssl_certificate.pem
Copiați link-ul
Deschideți fișierul SSL cu orice editor de text. Dacă vedeți eticheta “—–BEGIN CERTIFICATE—–” la începutul fișierului de certificat și “—–END CERTIFICATE—–” la sfârșitul fișierului, înseamnă că certificatul este în format PEM. În cazul în care certificatul este în format DER, acesta nu va conține aceste etichete, ci va fi un fișier binar.
Copiați link-ul
Formatul PKCS#12 sau PFX conține certificatele (S) și cheia privată. Acest format stochează cheia privată și certificatul asociat într-un singur fișier criptat.
Copiați link-ul
Am scris un ghid detaliat despre cum să importăm și să exportăm un fișier PFX în Microsoft IIS (Internet Information Services).
Copiați link-ul
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10