Archívum

Posts Tagged ‘certificate format’

Pfx előállítása – 1/2

május 6, 2013 6 hozzászólás

Nemrég egy érdekes feladatot kaptam: adva van egy lejárt tanúsítvány, amely lejárt, de az illetékes nem a megszokott módon újította meg, hanem a régi tanúsítvány-kérelmet adta be, s arra kapott egy új tanúsítványt, p7b formátumban. Ebből kellett pfx-et gyártani.

Mielőtt még a megvalósítást leírnám, a megértéshez nézzük át a tanúsítvány tárolásának formáit.  A különböző platformok és eszközök az SSL tanúsítványokat különböző formátumokban használják (pl. ebben a cikkben is több formátumra volt szükség, a Windows-ok világában a .pfx, míg egy Apache esetén a .crt, .cer kiterjesztés a szokványos), szerencsére van átváltási lehetőség ezek között.

Hogy tovább bonyolítsuk a dolgot, pl. a .cer kiterjesztés kétféle tárolási formát is takar: a PEM és a DER verziót (a kettő közti különbséget egy szövegszerkesztőben történő megnyitással láthatjuk, a BEGIN és END ellenőrzésével).

No de akkor lássuk a formátumokat:

PEM formátum

Ez a tanúsítvány-kiszolgáló által kiállított leggyakoribb formátum, tartalmazza a „- BEGIN CERTIFICATE -” és „- END CERTIFICATE -” bejegyzéseket.

Több PEM tanúsítvány és még a privát kulcs is benne lehet egy állományban, egymás után, de a legtöbb platform (pl. Apache) elvárja, hogy a tanúsítványok és a privát kulcs külön állományokban szerepeljen.

Jellemzői:

  • Base64 kódolású ASCII állományok
  • a lehetséges kiterjesztések .Pem, .Crt, .Cer, .Key (ha csak egy tanúsítvány van benne, a .pem-et átnevezve .crt vagy .cer kiterjesztésre a Windows natívan is megmutatja nekünk a tartalmát)
  • Apache és hasonló kiszolgálók használnak Pem formátumot

A .Pem és .Crt kiterjesztéseket gyakran használják szinonimaként, mivel mindkettő Base64 kódolású ASCII állomány. A jelentős különbség az, hogy míg a .Pem állomány a tanúsítványokat és a kulcsot is tartalmazhatja, addig a. Crt állomány csak a tanúsítványt – a valóságban ezt viszont gyakran figyelmen kívül hagyják.

Ha multifunkciós készüléket (MFP) akarunk úgy hálózatba kötni, hogy a webes adminisztratív felületét https-en érjük el, akkor ott is Pem formátumot kell használjunk, tehát az mmc konzolból exportált Der formátumot át kell alakítsuk.

DER formátum

Az előző (ASCII PEM) formátumú tanúsítvány bináris formája. Bármilyen típusú tanúsítványt és privát kulcsot lehet kódolni DER formátumba.

Jellemzői:

  • bináris formátumú állományok
  • a lehetséges kiterjesztések .Cer és .Der
  • DER jellemzően a Java platform által van használva

P7B/PKCS # 7 formátum

Tartalmazza a „- BEGIN PKCS -” és „- END PKCS7 -” bejegyzéseket. Ez is több tanúsítványt tartalmazhat (a tanúsítvány-láncot), de a privát kulcsot nem.

Jellemzői:

  • Base64 kódolású ASCII állományok
  • a lehetséges kiterjesztések .P7b, .P7c
  • Több platform támogatja, pl: – Windows, Java, Tomcat

PFX / PKCS # 12 formátum

A tanúsítványt, a felmenő tanúsítvány-láncolatot, valamint a privát kulcsot tartalmazza egy kódolt állományban.

Jellemzői:

  • bináris formátumú állományok
  • a lehetséges kiterjesztések .Pfx, .P12
  • általában a Windows-on van használva, a tanúsítványok és kulcsok importálása és exportálása céljából

Egyéb ismert kiterjesztések:

A .Csr állomány a szervezetről adminisztratív információkat tartalmazó tanúsítvány-aláírási/igénylési állomány kiterjesztése.

A .Key állomány az általunk használt titkosításhoz szükséges privát kulcsot tartalmazza.

Kategóriák:PKI Címkék: