Formati SSL Sertifikata
U vezi sa SSL sertifikatima, pominje se relativno veliki broj naziva kao što su PEM, CSR, KEY, DER, itd. To su datoteke koje su praktično samo "kutije" za lokaciju sertifikata i njegovih ključeva. Veliki broj formata je nastao postepeno zbog različitih implementacija u operativnim sistemima ili aplikacijama, neki su standardizovani u RFC.
CSR (.csr)
Zahtev za potpisivanje sertifikata (CSR) je zahtev za sertifikaciju koji se prosleđuje sertifikacionom autoritetu na sertifikaciju. Zahtev se može generisati direktno na serveru, u aplikaciji OpenSSL ili ga možete lako generisati u detaljima porudžbine prema ovom uputstvu, uključujući privatni ključ, nakon što poručite SSL sertifikat. Format zahteva je prema PKCS # 10 (Public Key Cryptography Standards) i definisan je u RFC 2986 (Certification Request Syntax Specification). CSR zahtev sadrži neophodne informacije za izdavanje sertifikata. To jest, naziv domena, organizacija, država, kao i javni ključ koji sertifikacioni autoritet potvrđuje. Kodiranje formata CSR koji se umeće u porudžbinu i šalje sertifikacionom autoritetu je PEM. Struktura informacija u zahtevu je definisana korišćenjem ASN.1 (apstraktna sintaksna notacija).
Nakon što sertifikat bude izdat i potpisan od strane sertifikacionog autoriteta, sertifikat je već isporučen iz autoriteta u drugim formatima, kao što su CRT, p7b. Često se takođe šalje direktno e-mailom u txt PEM formatu, zajedno sa informacijama o izdavanju SSL sertifikata.
Ne preporučujemo kreiranje zahteva za sertifikat i privatnog ključa na nepoznatim veb sajtovima.
U našoj pomoći objavljujemo uputstva o kako generisati CSR i privatni ključ u OpenSSL-u.
PEM (.pem)
Jedan od najčešće korišćenih formata za čuvanje SSL/TLS sertifikata. To je kontejner za čuvanje tekstom enkodiranih kriptografskih podataka (ključeva i sertifikata) i omogućava jednostavno slanje putem e-maila, definisan je u RFC 1421 do 1424. Može sadržavati poseban javni sertifikat, ali i javni sertifikat plus CA sertifikate ili može sadržavati ceo set sertifikata uključujući javni ključ, privatni ključ i korenske sertifikate izdavača sertifikacionog autoriteta. Zahtev za potpisivanje sertifikata (CSR) takođe se isporučuje u PEM formatu, koji se konvertuje iz PKCS10 formata.
Naziv potiče od skraćenice Privacy-enhanced Electronic Mail (PEM), koja je bila standard za bezbednost e-maila. Glavna suština PEM formata je prekodiranje binarnog formata (tj. jedinice i nule) metodom base64 i dodavanje informativnog zaglavlja i podnožja -----BEGIN PRIVATE KEY----- i -----END PRIVATE KEY----- ili -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.
Primer izdatog sertifikata u PEM formatu
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Možete dekodirati ovaj tekstualni niz, na primer na ovoj stranici, gde možete pronaći informacije o sertifikatu (validnost, informacije u sertifikatu, autoritet i mnogo više).
PEM datoteke su kodirane u Base64 formatu, koji je kodiranje koje konvertuje binarne podatke u sekvencu štampajućih ASCII karaktera (skup od 64 karaktera koji se sastoji od velikih i malih slova engleske abecede, brojeva i plus znakova ('+'), i kosa crta ('/')). PEM datoteke su vrlo jednostavne za rad, jer imaju sadržaj u čitljivom tekstualnom formatu i mogu se otvoriti u bilo kojem uređivaču. Individualni sertifikati su jasno odvojeni zaglavljem i podnožjem. Više o PEM formatu na WIKI...
PFX (.pfx) / PKCS #12 format
.pfx, ali i .p12 ili .pkcs12 su formati definisani u standardima Public-Key Cryptography Standards (PKCS). To je format kontejnera za lozinke koji sadrži i javne i privatne sertifikate. Za razliku od .pem datoteka, kontejner je potpuno enkriptovan. PKCS#12 (.p12) je bio prvobitno privatni Microsoft standard koji je kasnije definisan u RFC 7292. Pruža poboljšanu sigurnost u odnosu na PEM tekstualni format.
Na Windows platformi ćemo se najčešće susresti sa formatom PFX. Ako zahtev za sertifikat nije generisan direktno u Internet Information System (IIS), neophodno je obezbediti administratoru servera sertifikat u PFX formatu za uvoz na server. Za te slučajeve, objavljujemo u pomoći uputstva o kako izvesti sertifikat u PFX pomoću OpenSSL.
Sertifikati za potpisivanje koda i elektronski potpisi takođe se izvoze u .p12 / .pfx datoteku.
.pfx i .p12 datoteke su de facto identične, i ako vam je potrebna p12 datoteka umesto pfx, možda ćete pročitati da je samo treba preimenovati. To ne funkcioniše uvek tako jednostavno. Više možete naučiti u diskusiji na stackoverflow.com.
KEY (.key)
.key datoteka sadrži sertifikat u PEM formatu i sadrži samo privatni ključ sertifikata. Privatni ključ je uokviren u niske ----- BEGIN PRIVATE KEY ----- i ----- END PRIVATE KEY -----. Ova datoteka bi trebalo da se otvori u bilo kojem tekstualnom uređivaču.
Nema standardizacije za .key format i de facto je oznaka za datoteku sa privatnim ključem.
DER (.der)
DER (Distinguished Encoding Rules). Binarna datoteka (niz nula i jedinica) koja sadrži sačuvane informacije o sertifikatu. Sadrži SSL sertifikat ili puni put root-lanca (posredni sertifikati) i takođe može sadržati i privatni ključ. Koristi se u Unix svetu ili na Java platformama, u Windows-u se .der datoteka automatski smatra nosiocem sertifikata. DER je neuspešna binarna verzija base64 kodirane PEM datoteke.
CRT (.crt)
.crt datoteka sadrži SSL sertifikat u PEM formatu. Mogu se otvoriti bilo kojim tekstualnim uređivačem, a sertifikat je uokviren u ----- BEGIN CERTIFICATE ----- i ----- END CERTIFICATE ----- oznake.
U Windows-u, kada dvaput kliknete na datoteku i prihvatite upozorenje, prozor sa detaljima sertifikata automatski se otvara. Ako preimenujete .crt datoteku u .txt, dvoklikom se otvara tekstualni uređivač sa PEM sadržajem.
P7B (.p7b)
Format P7B sadrži javni ključ i posredne sertifikate iz sertifikacionog autoriteta. Ne sadrži privatni ključ. P7B / PKCS # 7 format je sačuvan u Base64 ASCII formatu i datoteka ima ekstenziju .p7b ili .p7c. Definisan je u RFC 2315 kao PKCS broj 7. Format koji koristi Windows. Java koristi .keystore. Moguće je definisati hijerarhiju sertifikata za ove kontejnere.
CER (.cer), CERT (.cert)
Ovo je drugačija ekstenzija datoteke .pem. Koristi se za označavanje izdatog sertifikata. Sačuvani sertifikat u PEM formatu je odvojen zaglavlje i podnožje ----- BEGIN CERTIFICATE ----- i ----- END CERTIFICATE -----.
Drugi tipovi i formati datoteka
CRL
Lista povučenih sertifikata (CRL) - lista povučenih sertifikata. Sertifikacioni autoriteti objavljuju listu povučenih sertifikata u ovim listama.
RFC 7468
Propisani standard RFC 7468 (Tekstualna kodiranja PKIX, PKCS i CMS struktura) opisuje i standardizuje tekstualno kodiranje PKI (Public-Key Infrastructure X.509), PKCS (Public-Key Cryptography Standards) i CMS (Cryptographic Message Syntax).
Gde dalje?
Nazad na Pomoć
Pronašli ste grešku ili vam nešto nije jasno? Pišite nam!