Формат SSL сертификата: как конвертировать сертификат в .pem, .cer, .crt, .der, pkcs или pfx?

Обзор Форматов SSL Cертификатов

Формат сертификата PEM

PEM – наиболее популярный формат среди сертификационных центров. PEM сертификаты могут иметь расширение .pem, .crt, .cer, и .key (файл приватного ключа). Она представляют собой ASCII файлы, закодированные по схеме Base64. Когда вы открываете файл pem формата в текстовом редакторе, вы можете увидеть, что текст кода в нем начинается с тега «—— BEGIN CERTIFICATE ——» и заканчивая тегом «—— END CERTIFICATE ——«. Apache и другие подобные серверы используют сертификаты в PEM формате. Обратите внимание, что в одном файле может содержатся несколько SSL сертификатов и даже приватный ключ, один под другим. В таком случае каждый сертификат отделен от остальных ранее указанными тегами BEGIN и END. Как правило, для установки SSL сертификата на Apache, сертификаты и приватный ключ должны быть в разных файлах.

Формат сертификата DER

DER формат – это бинарный тип сертификата вместо формата PEM. В PEM формате чаще всего используется расширение файла .cer, но иногда можно встретить и расширение файла .der. Поэтому чтобы отличить SSL сертификат в формате PEM от формата DER, следует открыть его в текстовом редакторе и найти теги начала и окончания сертификата (BEGIN/END). DER SSL сертификаты, как правило, используются на платформах Java.

PKCS # 7 / P7B сертификат

SSL сертификаты в формате PKCS # 7 или P7B — это файлы, которые хранятся в формате Base64 ASCII и имеют расширение файла .p7b или .p7c. P7B сертификаты содержат теги начала сертификата «—— BEGIN PKCS7 ——» и его конца «—— END PKCS7 ——«. Файлы в формате P7B включают в себя только ваш SSL сертификат и промежуточные SSL сертификаты. Приватный ключ при этом идет отдельным файлом. SSL сертификаты в формате PKCS # 7 / P7B поддерживают следующие платформы: Microsoft Windows и Java Tomcat.

PFX сертификат (формат PKCS # 12)

Формат SSL сертификата PKCS # 12 или, как его еще называют, PFX сертификат — бинарный формат, при использовании которого в одном зашифрованном файле хранится не только ваш личный сертификат сервера и промежуточные сертификаты центра сертификации, но и ваш закрытый ключ. PFX файлы, как правило, имеют расширение .pfx или .p12. Обычно, файлы формата PFX используются на Windows серверах для импорта и экспорта файлов сертификатов и вашего приватного ключа.

Конвертация SSL сертификатов в OpenSSL

Данные команды OpenSSL дают возможность преобразовать сертификаты и ключи в разные форматы. Для того чтобы сделать их совместимыми с определенными видами серверов, либо ПО. К примеру, Вам необходимо конвертировать обыкновенный файл PEM, который будет работать с Apache, в формат PFX (PKCS # 12) с целью применения его с Tomcat, либо IIS.

Конвертировать PEM в DER

openssl x509 -outform der -in certificate.pem -out certificate.der

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

openssl x509 -inform der -in certificate.cer -out certificate.pem

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.ceropenssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

Онлайн конвертер SSL сертификатов

Также существуют онлайн программы для конвертации сертификатов из одного формата в другой. Например, мы можем посоветовать SSL конвертер от SSLShopper. Используйте этот SSL конвертер для преобразования SSL-сертификатов различных форматов, таких как PEM, DER, P7B и PFX. Чтобы использовать SSL-конвертер, просто выберите файл сертификата и его текущий тип (он определяется по формату расширения), затем выберите формат, в какой Вам необходимо преобразовать SSL сертификат и нажмите кнопку “Convert Certificate”. Обратите внимание, что в зависимости от того, в какой формат вам нужно конвертировать SSL сертификат, от вас потребуются разные исходящие файлы.

Конвертация PEM в DER

Для конвертации стандартного сертификата в формате PEM в бинарный формат DER, потребуется только файлSSL сертификата. Обычно, вы его получаете в архиве вместе с промежуточными сертификатами. Как правило, в его названии указано имя вашего домена.

Конвертация PEM в P7B / PKCS#7

Если же вам нужно преобразовать ваш стандартный SSL сертификат в файл формата P7B / PKCS#7, вы можете кроме SSL сертификата вашего домена загрузить также файлы с цепочками сертификатов. Более подробно о том, что такое цепочка SSL сертификатов, мы писали в статье о CA-bundle.

Конвертация PEM в PFX / PKCS#12

Обратите внимание, что для конвертации стандартного формата SSL сертификата необходимо добавить еще один файл – ваш приватный ключ. Приватный ключ – это конфиденциальная информация, которая должна быть только у вас. Поэтому центры сертификации не высылают его месте с файлами вашего сертификата. Приватный ключ создается в момент генерации CSR запроса. Если вы генерируете CSR у себя на сервере, на нем же должен автоматически сохраниться ключ. Если вы создаете CSR запрос в специальном инструменте на нашем сайте (на странице по ссылке или во время заполнения технических данных), ключ показывается вам в конце генерации CSR (или введения технических данных), но не сохраняется в нашей базе данных. Поэтому важно, чтобы вы самостоятельно сохранили приватный ключ.

Пример настройки двухфакторной аутентификации в ОС Windows

В приведенном ниже примере используется последняя версия OpenSSL для ОС Windows. Предполагается использование конфигурации с сервером безопасности, настроенном на веб-сервере IIS. В примере продемонстрированы шаги для создания трех сертификатов:

корневой сертификат — используется для подписи других сертификатов;

сертификат сервера — используется сервером для проверки сертификатов пользователей;

сертификат клиента — предоставляется пользователем для проверки на сервере.

Для настройки двухфакторной аутентификации необходимо выполнить все этапы данной инструкции.

1. Предварительные настройки OpenSSL

Для выполнения примера были заданы следующие предварительные настройки OpenSSL:

В файле конфигурации openssl.cnf изменен параметр « dir » внутри поля [CA_default] на « C:/iis ». Файл openssl.cnf расположен в папке «S\bin\cnf\», где S — путь до места установки OpenSSL, например, «C:\Program Files\OpenSSL-Win64\bin\cnf\».

Создана папка « C:\iis » и « C:\iis\newcerts ».

В папке « C:\iis » создано два файла: пустой « index.txt » и файл без расширения « serial », содержащий значение « 01 ».

2. Создание и установка корневого сертификата

Корневой сертификат необходим для подписания сертификата клиента и сервера.

Создание корневого сертификата

Для создания корневого сертификата:

Перейдем в директорию с установленным OpenSSL с помощью командной строки:

cd C:\Program Files\OpenSSL-Win64

openssl req -new -x509 -days 1000 -out c:\iis\ca.crt -keyout c:\iis\ca.key -config .\bin\cnf\openssl.cnf

При выполнении команды будут запрошены дополнительные данные: PEM пароль и пользовательские данные о владельце сертификата.

Совет . При необходимости можно поменять срок действия сертификата в команде или в настройках OpenSSL по умолчанию.

Установка созданного сертификата

Созданный сертификат необходимо установить в хранилище доверенных центров:

Вызовем консоль управления, выполнив (горячая клавиша WIN+R) команду « mmc ».

Добавим (горячая клавиша CTRL+M) оснастку сертификаты для учетной записи локального компьютера.

Импортируем, ранее созданный сертификат, в папку « Доверенные корневые центры сертификации > Сертификаты »:

3. Создание и установка сертификата сервера

Сертификат сервера используется веб-сервером IIS для проверки подлинности сертификатов клиентов, для создания и подписания сертификата сервера выполните следующие шаги:

Создание запроса сертификата

В диспетчере служб IIS перейдем на страницу настройки сертификатов, нажав кнопку « Сертификаты сервера ».

Выполним команду « Создать запрос сертификата » контекстного меню или боковой панели.

Заполним поля о пользователе сертификата.

При запросе имени файла сохраним запрос в папке « C:\iis » под именем « server.csr ».

Подписание запроса сертификата

Созданный запрос необходимо подписать корневым сертификатом. Откроем консоль OpenSSL и введем команду:

openssl ca -days 1000 -policy policy_anything -keyfile c:\iis\ca.key -cert c:\iis\ca.crt -in c:\iis\server.csr -out c:\iis\server.cer -config openssl.cnf

При выполнении команды будет получен запрос PEM пароля и уточняющие вопросы. После введения данных будет создан сертификат.

Установка сертификата сервера в IIS

Подписанный файл сертификата сервера необходимо установить на веб-сервер IIS:

В диспетчере служб IIS перейдем на страницу настройки сертификатов, нажав кнопку « Сертификаты сервера ».

Выполним команду « Запрос установки сертификата » контекстного меню или боковой панели.

Укажем путь до подписанного сертификата « C:\iis\server.cer ».

В результате на веб-сервер IIS будет установлен подписанный сертификат сервера.

Сохранение сертификата в формате PEM

Сохранение сертификата server.cer в формате PEM необходимо в том случае, если выполняется настройка входа через OAuth, при которой используется утилита PP.Util для сохранения сгенерированного сертификата в репозиторий. Откроем консоль OpenSSL и введем команду:

openssl x509 -in c:\iis\server.cer -out c:\iis\server.pem

После выполнения команды сертификат будет сохранен в формате PEM и доступен для использования утилитой PP.Util.

4. Настройки параметров подключения

Добавление https привязки

В диспетчере служб IIS перейдем на страницу сайта, например « Default Web Site ».

Выполним команду « Привязки » контекстного меню или боковой панели.

Добавим новую привязку: в поле Тип укажем « https », в выпадающем списке укажем созданный ранее сертификат сервера.

Параметры SSL

Включим параметры SSL для используемого веб-сайта/приложения:

В диспетчере служб IIS перейдем на страницу настройки параметров SSL, нажав кнопку « Параметры SSL ».

Установим флажок « Требовать SSL » и переключатель « Требовать сертификат клиента ».

Настройка параметров подключения

При двухфакторной аутентификации для подключения к веб-сервису используется протокол https.

В настройках подключения пользователя к серверу безопасности необходимо указать адрес до веб-сервиса с учетом защищенного протокола:

https:// / fp SS_App_v9.2×64/axis2/services/PP.SOM.SomSec

При использовании BI-сервера совместно с сервером безопасности необходимо задать https соединение на всех этапах.

5. Создание сертификата клиента

Создание запроса сертификата клиента

Для создания запроса в консоли OpenSSL введем команду:

openssl req -new -days 1000 -keyout c:\iis\client.key -out c:\iis\client.csr -config openssl.cnf

При выполнении команды будет предложено задать PEM пароль и дополнительную информацию и владельце сертификата.

После введения всех данных будет создан ключ и запрос на сертификат клиента.

Подписание запроса сертификата

Созданный запрос необходимо подписать корневым сертификатом. Откроем консоль OpenSSL и введем команду:

openssl ca -days 1000 -policy policy_anything -keyfile c:\iis\ca.key -cert c:\iis\ca.crt -in c:\iis\client.csr -out c:\iis\client.cer -config openssl.cnf

При выполнении команды будет получен запрос PEM пароля и уточняющие вопросы. После введения данных будет создан сертификат.

Сохранение сертификата в контейнере

Для возможности импортировать сертификат в хранилище сертификатов вместе с ключом, необходимо конвертировать сертификат с ключом в контейнер *.pfx.

Введем в консоли OpenSSL команду:

openssl pkcs12 -export -inkey c:\iis\client.key -in c:\iis\client.crt -out c:\iis\client.pfx

При выполнении команды будет получен запрос PEM пароля.

После создания контейнера его необходимо передать на компьютер клиента и импортировать в хранилище сертификатов.

6. Привязка сертификата к пользователю

Привязка сертификата к конкретному пользователю производится на вкладке «Общие свойства» в свойствах пользователя:

Выполним команду « Из файла » раскрывающегося меню кнопки « Добавить » и укажем созданный для клиента сертификат.

В результате доступ пользователя к репозиторию будет разрешен только при предъявлении сертификата пользователя.

7. Проверка работы сертификатов

Перед проверкой работы сертификатов перезагрузим веб-сервер IIS.

Для проверки работы запросов сертификатов проверим доступ к веб-сервису сервера безопасности. В браузере перейдем по адресу:

https:// / fp SS_App_v9.2×64/axis2/services

При корректной настройке будет показано окно выбора сертификата для аутентификации на сайте.

Если сертификат был указан корректно, будет отображена страница с доступными операциям веб-сервиса.

КАК: Файл PEM (что это такое и как его открыть) — 2021

Как и сколько поставить файл подкачки — ответы на большинство вопросов (Апрель 2021).

Table of Contents:

Файл с расширением файла PEM является файлом сертификата конфиденциальности, который используется для частной передачи электронной почты. Лицо, получающее это электронное письмо, может быть уверенным, что сообщение не было изменено во время его передачи, не было показано никому другому и было отправлено лицом, которое утверждает, что оно отправило его.

Формат PEM возник из-за сложности отправки двоичных данных по электронной почте. Формат PEM кодирует двоичный код с базой64, чтобы он существовал как строка ASCII.

Формат PEM был заменен новыми и более безопасными технологиями, но контейнер PEM по-прежнему используется сегодня для хранения файлов сертификатов, открытых и закрытых ключей, корневых сертификатов и т. Д.

Некоторые файлы в формате PEM могут вместо этого использовать другое расширение файла, например CER или CRT для сертификатов, или KEY для открытых или закрытых ключей.

Как открыть файлы PEM

Шаги для открытия файла PEM различаются в зависимости от приложения, которое оно нуждается, и операционной системы, которую вы используете. Однако вам может потребоваться преобразовать ваш файл PEM в CER или CRT, чтобы некоторые из этих программ могли принять файл.

Windows

Если вам нужен файл CER или CRT в почтовом клиенте Microsoft, например Outlook, откройте его в Internet Explorer, чтобы он автоматически загрузился в соответствующую базу данных. Клиент электронной почты может автоматически использовать его оттуда.

Чтобы узнать, какие файлы сертификатов загружены на ваш компьютер и импортировать их вручную, используйте Internet Explorer. инструменты меню для доступа Свойства обозревателя> Контент> Сертификаты, как это:

Чтобы импортировать файл CER или CRT в Windows, начните с открытия Microsoft Management Console в диалоговом окне «Выполнить» (используйте Windows Key + R сочетание клавиш для ввода ММС). Оттуда перейдите к Файл> Добавить / удалить оснастку … и выберите Сертификаты из левого столбца, а затем Добавить> в центре окна.

выберите Компьютерный счет на следующем экране, а затем перейдите к мастеру, выбрав Локальный компьютер когда его спрашивают. Как только «Сертификаты» загружаются под «Корень консоли», разверните папку и щелкните правой кнопкой мыши доверенные корневые центры сертификации, и выберите Все задачи> Импорт ….

Macos

Та же концепция верна для вашего почтового клиента Mac, как и для Windows: используйте Safari для импорта файла PEM в Keychain Access.

Вы также можете импортировать сертификаты SSL через Файл> Импортировать элементы … в меню «Доступ к ключам». выберите система в раскрывающемся меню, а затем следуйте инструкциям на экране.

Если эти методы не работают для импорта файла PEM в macOS, вы можете попробовать следующую команду (измените «yourfile.pem» на имя и расположение вашего конкретного файла PEM):

security import yourfile.pem -k

/ Библиотека / Брелки / login.keychain

Linux

Используйте эту команду keytool для просмотра содержимого файла PEM в Linux:

keytool -printcert -file yourfile.pem

Выполните следующие шаги, если вы хотите импортировать файл CRT в репозиторий доверенных сертификатов Linux (см. Метод преобразования PEM в CRT в следующем разделе ниже, если вместо этого есть файл PEM):

Перейдите к / USR / доли / CA-сертификаты / .

Создайте там папку (например, sudo mkdir / usr / share / ca-certificate / work).

Скопируйте файл .CRT в эту вновь созданную папку. Если вы не хотите делать это вручную, вы можете использовать эту команду: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.

Убедитесь, что разрешения установлены правильно (755 для папки и 644 для файла).

Запустите sudo update-ca-certificate команда.

Firefox и Thunderbird

Если файл PEM необходимо импортировать в почтовый клиент Mozilla, например Thunderbird, вам может потребоваться сначала экспортировать файл PEM из Firefox. Откройте меню Firefox и выберите Опции, Идти к Конфиденциальность и безопасность и найти Безопасность раздел, а затем используйте Просмотреть сертификаты … чтобы открыть список, откуда вы можете выбрать тот, который вам нужно экспортировать. Использовать Резервное копирование… возможность сохранить его.

Затем, в Thunderbird, откройте меню и нажмите или коснитесь Опции, Перейдите к Дополнительно> Сертификаты> Управление сертификатами> Ваши сертификаты> Импорт …, Из раздела «Имя файла:» Импортировать окно, выберите Файлы сертификатов из раскрывающегося списка, а затем найдите и откройте файл PEM.

Чтобы импортировать файл PEM в Firefox, просто выполните те же действия, что и для экспорта, но выберите Импортировать… вместо Резервное копирование… кнопка. Если вы не можете найти файл PEM, убедитесь, что в поле «Имя файла» диалогового окна установлено значение Файлы сертификатов и не Файлы PKCS12.

Java KeyStore

См. Этот поток переполнения стека при импорте файла PEM в Java KeyStore (JKS), если вам нужно это сделать. Другим вариантом, который может работать, является использование этого инструмента keyutil.

Как конвертировать файл PEM

В отличие от большинства форматов файлов, которые могут быть преобразованы с помощью инструмента преобразования файлов или веб-сайта, вам необходимо ввести специальные команды для конкретной программы, чтобы преобразовать формат файла PEM в большинство других форматов.

Преобразуйте PEM в PPK с помощью PuTTYGen. выберите нагрузка с правой стороны программы, установите тип файла как любой файл (*. *), а затем просмотрите и откройте файл PEM. выберите Сохранить закрытый ключ для создания файла PPK.

С помощью OpenSSL (получить версию Windows здесь) вы можете преобразовать файл PEM в PFX с помощью следующей команды:

openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx

Если у вас есть файл PEM, который требуется преобразовать в CRT, как в случае с Ubuntu, используйте эту команду в OpenSSL:

openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt

OpenSSL также поддерживает преобразование .PEM в .P12 (PKCS # 12 или Standard Key Cryptography Standard # 12), но добавьте расширение файла .TXT в конце файла перед запуском этой команды:

openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12

См. Ссылку «Переполнение стека» выше о использовании файла PEM с Java KeyStore, если вы хотите преобразовать файл в JKS или этот учебник из Oracle, чтобы импортировать файл в доверенное хранилище Java.

Дополнительная информация о PEM

Функция целостности данных в формате расширенного почтового сертификата использует сообщения RSA-MD2 и RSA-MD5 для сравнения сообщения до и после его отправки, чтобы гарантировать, что он не был изменен на этом пути.

В начале файла PEM находится заголовок, который читает —— BEGIN label —— , а конец данных — аналогичный нижний колонтитул: —— END label ——. Раздел «label» описывает сообщение, поэтому он может читать ЧАСТНЫЙ КЛЮЧ, ЗАПРОС СЕРТИФИКАТА, или же СВИДЕТЕЛЬСТВО .

—— НАЧАТЬ ЧАСТНЫЙ КЛЮЧ ——MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyPjbwNfR5CtewdXC + kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM9z2j1OlaN + Сl / X7NU22TNN6crYSiN77FjYJP464j876ndSxyD + rzys386T + 1r1aZaggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH + T2Vf3WOPv8KdkcJg6gCReyJKXOWgWRcicx / CUzOEsTxmFIDPLxqAWA3k7v0B + 3vjGw5Y9lycV / 5XqXNoQI14jy09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv / rJ5 / VD6F4zWywpe90pcbK +AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm / DYyXlIthQO / A3 / LngDW5 / ydGxVsT7lAVOgCsoT + 0L4efTh90PjzW8LPQrPBWVMCQQDS3h / FtYYd5lfz + НОС9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ + vSFw38OORO00Xqs91GJrAkBkoXXEkxCZoy4PteheO / 8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFTDnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2 / NpCeGdHS5uqRlbh1VIa / xGps7EWQl5Mn8swQDel / YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8mJAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3RnJdHOMXWem7 / ш ==—— КОНЕЦ ЧАСТНОГО КЛЮЧА ——

Один файл PEM может содержать несколько сертификатов, и в этом случае секции «END» и «BEGIN» соседствуют друг с другом.

Ваш файл все еще не открывается?

Одна из причин, по которой ваш файл не открывается ни одним из способов, описанных выше, заключается в том, что вы на самом деле не имеете дело с файлом PEM. Вместо этого у вас может быть файл, который просто использует расширение с аналогичным написанием. Если это так, нет необходимости связывать эти два файла или работать с одними и теми же программами.

Например, PEF выглядит очень много, как PEM, но вместо этого принадлежит либо файлу формата Pentax Raw Image, либо Portable Format Embosser Format. Следуйте этой ссылке, чтобы узнать, как открывать или конвертировать файлы PEF, если это действительно так.

То же самое можно сказать и для многих других расширений файлов, таких как EMP, EPP, PES, PET … у вас есть идея. Просто дважды проверьте расширение файла, чтобы увидеть, что он действительно читает «.pem», прежде чем считать, что вышеприведенные методы не работают.

Если вы имеете дело с файлом KEY, имейте в виду, что не все файлы, которые заканчиваются на .KEY, принадлежат к формату, описанному на этой странице. Вместо этого они могут быть ключевыми файлами программного обеспечения, которые используются при регистрации программ, таких как LightWave или Keynote Presentation, созданных Apple Keynote.

Если вы уверены, что у вас есть файл PEM, но у вас возникли проблемы с его открытием или использованием, см. Раздел «Дополнительная помощь» для получения информации о контакте со мной в социальных сетях или по электронной почте, публикации на форумах технической поддержки и т. Д. Позвольте мне знать, какие у вас проблемы, и я посмотрю, что я могу сделать, чтобы помочь.