Kezdőlap > PKI > Pfx előállítása – 1/2

Pfx előállítása – 1/2


Nemrég egy érdekes feladatot kaptam: adva van egy lejárt tanúsítvány, amely lejárt, de az illetékes nem a megszokott módon újította meg, hanem a régi tanúsítvány-kérelmet adta be, s arra kapott egy új tanúsítványt, p7b formátumban. Ebből kellett pfx-et gyártani.

Mielőtt még a megvalósítást leírnám, a megértéshez nézzük át a tanúsítvány tárolásának formáit.  A különböző platformok és eszközök az SSL tanúsítványokat különböző formátumokban használják (pl. ebben a cikkben is több formátumra volt szükség, a Windows-ok világában a .pfx, míg egy Apache esetén a .crt, .cer kiterjesztés a szokványos), szerencsére van átváltási lehetőség ezek között.

Hogy tovább bonyolítsuk a dolgot, pl. a .cer kiterjesztés kétféle tárolási formát is takar: a PEM és a DER verziót (a kettő közti különbséget egy szövegszerkesztőben történő megnyitással láthatjuk, a BEGIN és END ellenőrzésével).

No de akkor lássuk a formátumokat:

PEM formátum

Ez a tanúsítvány-kiszolgáló által kiállított leggyakoribb formátum, tartalmazza a „- BEGIN CERTIFICATE -” és „- END CERTIFICATE -” bejegyzéseket.

Több PEM tanúsítvány és még a privát kulcs is benne lehet egy állományban, egymás után, de a legtöbb platform (pl. Apache) elvárja, hogy a tanúsítványok és a privát kulcs külön állományokban szerepeljen.

Jellemzői:

  • Base64 kódolású ASCII állományok
  • a lehetséges kiterjesztések .Pem, .Crt, .Cer, .Key (ha csak egy tanúsítvány van benne, a .pem-et átnevezve .crt vagy .cer kiterjesztésre a Windows natívan is megmutatja nekünk a tartalmát)
  • Apache és hasonló kiszolgálók használnak Pem formátumot

A .Pem és .Crt kiterjesztéseket gyakran használják szinonimaként, mivel mindkettő Base64 kódolású ASCII állomány. A jelentős különbség az, hogy míg a .Pem állomány a tanúsítványokat és a kulcsot is tartalmazhatja, addig a. Crt állomány csak a tanúsítványt – a valóságban ezt viszont gyakran figyelmen kívül hagyják.

Ha multifunkciós készüléket (MFP) akarunk úgy hálózatba kötni, hogy a webes adminisztratív felületét https-en érjük el, akkor ott is Pem formátumot kell használjunk, tehát az mmc konzolból exportált Der formátumot át kell alakítsuk.

DER formátum

Az előző (ASCII PEM) formátumú tanúsítvány bináris formája. Bármilyen típusú tanúsítványt és privát kulcsot lehet kódolni DER formátumba.

Jellemzői:

  • bináris formátumú állományok
  • a lehetséges kiterjesztések .Cer és .Der
  • DER jellemzően a Java platform által van használva

P7B/PKCS # 7 formátum

Tartalmazza a „- BEGIN PKCS -” és „- END PKCS7 -” bejegyzéseket. Ez is több tanúsítványt tartalmazhat (a tanúsítvány-láncot), de a privát kulcsot nem.

Jellemzői:

  • Base64 kódolású ASCII állományok
  • a lehetséges kiterjesztések .P7b, .P7c
  • Több platform támogatja, pl: – Windows, Java, Tomcat

PFX / PKCS # 12 formátum

A tanúsítványt, a felmenő tanúsítvány-láncolatot, valamint a privát kulcsot tartalmazza egy kódolt állományban.

Jellemzői:

  • bináris formátumú állományok
  • a lehetséges kiterjesztések .Pfx, .P12
  • általában a Windows-on van használva, a tanúsítványok és kulcsok importálása és exportálása céljából

Egyéb ismert kiterjesztések:

A .Csr állomány a szervezetről adminisztratív információkat tartalmazó tanúsítvány-aláírási/igénylési állomány kiterjesztése.

A .Key állomány az általunk használt titkosításhoz szükséges privát kulcsot tartalmazza.

Reklámok
Kategóriák:PKI Címke:
  1. augusztus 14, 2013 - 1:49 de.

    ” (ha csak egy tanúsítvány van benne, a .pem-et átnevezve .crt vagy .cer kiterjesztésre a Windows natívan is megmutatja nekünk a tartalmát)”

    Majdnem. Helyesen:

    ” (ha van benne egy vagy több tanúsítvány, a .pem-et átnevezve .crt vagy .cer kiterjesztésre a Windows natívan is megmutatja nekünk a legelső tanúsítvány tartalmát)”

    Ugyanis a Windows van olyan okos, hogy egy ugynevezett certification bundle-bol (ami altalaban egy kulcsbol, egy tanusitvanybol, es opcionalisan egy Diffie-Hellman féle generált kulcsból áll) is képes megmutatni a megfelelő tanúsítványt. Ilyen bundle-kat elsősorban Linux alatt használunk, néhány szerver ilyen formában kéri a kulcsot/tanúsítványt, ha vmiért nem tud külön kulcsfájl paramétert fogadni.

    Nem kezeli helyesen viszont a több tanúsítványt tartalmazó .crt-ket, amit például egy olcsóbbb RapidSSL tanúsítvány mellé kaphatunk, ez esetben a különböző intermediate CA-k tanúsítványának kötegét, ebből csak az elsőt mutatja meg.

    • augusztus 14, 2013 - 8:42 de.

      Köszönöm a pontosítást. Nekem még nem sikerült egy tanúsítvány-lánc első elemét sem ilyen módon megjelentetnem (Win2k8R2/2012), ezért fogalmaztam így.
      “This file is invalid for use as the following: Security Certificate”

  2. augusztus 14, 2013 - 1:50 de.

    És a fentiekből következik, hogy a Windows is figyelmen kívül hagyja azt a megszorítást, hogy a crt-ben csak egy tanúsítvány lehetne…

  3. augusztus 14, 2013 - 1:52 de.

    Ja és egészítsük ki a cikket a CRL megemlítésével, mely a visszavont tanúsítványok listája. PKI-ban az egyik legfontosabb elem.

  1. május 7, 2013 - 5:51 de.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: