Cer crt в чем разница
Перейти к содержимому

Cer crt в чем разница

  • автор:

В чем разница между.CER и.CRT?

Есть ли разница между.cer и.crt. Я знаю, что оба они имеют одинаковый формат SSL-сертификата, но не знаю, в чем разница между ними.

Если нет разницы, почему 2 разных расширения?

Поделиться Источник 28 января 2020 в 20:54

2 ответа

Расширения бесполезны, так же как и имена файлов. Они не считаются. Только содержимое считается. Программное обеспечение не заботится о том, как вы называете свои имена файлов, хранящие сертификаты и закрытые ключи, это может быть foobar.42 и будет работать также (пока содержимое правильное).

Имена предназначены только для того, чтобы помочь людям более легко узнать, о чем речь. Например, принято использовать имя сайта в качестве имени файла, чтобы четко определить его, а затем использовать «некоторое» расширение, с одной стороны для сертификата ( .cert или .crt или .cer ) и закрытого ключа ( .key ). Также у вас есть запросы на подпись сертификата (что-то, что вы генерируете перед получением сертификата), которые часто являются .csr .

Иногда вы можете найти .pem , что неоднозначно: PEM — это формат для кодирования содержимого, вы можете закодировать сертификат или ключ, поэтому просто с помощью .pem вы не знаете, где находится .crt или .key , по крайней мере, чтобы понять разницу.

Теперь, .cert , вероятно, будет самым очевидным выбором. но так как мы наследуем некоторые прошлые произвольные ограничения некоторых прошлых ОС, мы часто предпочитаем 3 буквы для расширений, максимум, поэтому выбираем ваш яд между сокращением .cert или .cer или .crt (последний, как мне кажется, встречается чаще). Также для тех же глупых прошлых произвольных решений, некоторые ОС прикрепляют конкретные действия к определенным файлам на основе их имени. Ваша ОС может обрабатывать один и тот же файл по-другому, если он заканчивается на .crt или заканчивается на .cer . Но это все конфигурации и локальные предпочтения, опять же, только содержимое действительно имеет значение.

Поделиться 28 января 2020 в 21:41

В хорошем мире, где всем можно доверять, нам может не понадобиться шифрование, идентификация, сертификаты и т.д. Но, к сожалению, такого мира не существует, плохие парни везде, и поэтому появилась необходимость в шифровании, и появились симметричные ключи. 1 ключ, который одинаков как для клиента, так и для сервера, чтобы шифровать и расшифровать данные — это все, что нужно. Процесс быстрый, так как ключ обычно имеет длину только 256 бит. Все хорошо.

Одна из проблем заключается в том, как мы распределяем ключ securely?

. Рожденная была инфраструктурная система открытых ключей, PKI или PKIX (X для X.509), где открытый ключ распределяется для шифрования, а закрытый ключ (не распределяется, поэтому безопасный), для расшифровки. Эти ключи называются асимметричными ключами, которые обычно имеют не менее 2048 бит, более надежные, но вы считаете, что медленнее.

Затем нам понадобился стандарт для конструирования этих ключей, X.500 пришел и эволюционировал в X.509 v3, который закодирован в.DER(бинарный) или.PEM(который является просто базовой-64 кодировкой DER, заключенной между «——BEGIN CERTIFICATE——» и «——END CERTIFICATE——). Поэтому иногда вы можете увидеть сертификаты.DER, иногда.PEM.

Вместе с.DER и.PEM у нас также есть другие связанные форматы сертификатов, такие как.CER и.CRT.

Разница, хорошее объяснение взято здесь:

.CRT = Расширение CRT используется для сертификатов. Сертификаты могут быть закодированы как бинарный DER или ASCII PEM. Расширения CER и CRT, безусловно, синонимичны. Наиболее распространенные среди *nix систем

CER = альтернативная форма.crt (Конвенция Майкрософт) Вы можете использовать MS для преобразования.crt в.cer (оба кодированы в DER, или base64[PEM] закодированы в.cer). Расширение.cer также распознается IE как команда для запуска команды MS cryptoAPI

Надеюсь, вышеуказанное дало вам фон и некоторую идею о том, что вокруг много расширения сертификатов, и что может быть довольно запутанным в некоторых случаях, особенно для нового comer.

Как конвертировать SSL-сертификат в нужный формат

Чтобы вы могли без проблем пользоваться SSL-сертификатом на разных платформах и устройствах, иногда требуется изменить его формат. Дело в том, что некоторые форматы лучше подходят для работы с различными видами программного обеспечения. Далее мы расскажем о том, какие форматы бывают, в каких случаях используются и какими способами можно конвертировать один формат сертификата в другой.

Форматы сертификатов

Существует четыре основных формата сертификатов:

PEM — популярный формат используемый Центрами Сертификации для выписки SSL-сертификатов.

Основные расширения этого типа .pem, .crt, .cer, .key. В файлах содержатся строки вида

-----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY ------

Сертификаты PEM подходят для установки на веб-серверы nginx, apache2.

DER — это бинарная форма сертификата PEM.

Основные расширения этого типа сертификата .der .cer

Сертификаты DER подходят для установки на серверы Java.

P7B. Файлы P7B кодируются в формате Base64 и имеют расширение .p7b или .p7c.

В файлах содержатся строки вида

-----BEGIN PKCS7----- -----END PKCS7-----

Сертификаты P7B подходят для установки на серверы MS Windows, Java Tomcat

PFX — это сертификат в бинарном формате, выданный для домена, включающий в себя сертификат, цепочку сертификатов (корневые сертификаты) и приватный ключ. Имеют расширение .pfx или .p12.

Сертификаты PFX подходят для установки на серверы Windows, в частности Internet Information Services(IIS).

Способы конвертации

Существует несколько способов конвертации сертификатов, которые отличаются между собой только простотой конвертирования и уровнем безопасности. Мы расскажем о трех из них.

Конвертация SSl сертификатов посредством OpenSSL

OpenSSL — это надежный, коммерческий и полнофункциональный инструментарий для протоколов Transport Layer Security (TLS) и Secure Sockets Layer (SSL). А также библиотека криптографии общего назначения. Конвертация с использованием библиотеки OpenSSL считается одним из самых безопасных способов: все данные будет сохранены непосредственно на устройстве, на котором будут выполняться операции по конвертированию.

Для того чтобы воспользоваться им, вам необходимо перейти в командную строку и выполнить команды.

Предоставленные ниже примеры команд OpenSSL позволяют конвертировать сертификаты и ключи в нужный формат.

Конвертировать PEM в DER можно посредством команды:

openssl x509 -outform der -in site.crt -out site.der

Аналогично, для других типов:

PEM в P7B

openssl crl2pkcs7 -nocrl -certfile site.crt -out site.p7b -certfile site.ca-bundle

PEM в PFX

openssl pkcs12 -export -out site.pfx -inkey site.key -in site.crt -certfile site.ca-bundle

Обращаем ваше внимание, что после выполнения команды, будет запрошена установка пароля ключа.

DER в PEM

openssl x509 -inform der -in site.der -out site.crt

P7B в PEM

openssl pkcs7 -print_certs -in site.p7b -out site.cer

P7B в PFX

openssl pkcs7 -print_certs -in site.p7b -out certificate.ceropenssl pkcs12 -export -in site.cer -inkey site.key -out site.pfx -certfile site.ca-bundle

PFX в PEM

openssl pkcs12 -in site.pfx -out site.crt -nodes

Конвертация при помощи онлайн-сервисов

Для конвертации сертификатов самый удобный способ — использование специальных сайтов, например, https://ssl4less.ru/ssl-tools/convert-certificate.html

Этот способ считается наименее безопасным методом: никогда не знаешь, сохраняет ли автор сайта ваш приватный ключ при конвертации.

Чтобы воспользоваться этим способом, вы просто переходите по ссылке на нужный сайт, выбираете нужные вам форматы и прикрепляете файл или файлы сертификата.

Конвертация с PEM в DER

Для конвертации необходим только файл сертификата .crt, .pem

Конвертация с PEM в P7B

В этом случае существует возможность добавить также цепочку сертификатов.

Что такое цепочка сертификатов и для чего она нужна, можно узнать в статье «Что такое корневой сертификат»

Конвертация с PEM в PFX

В этом случае необходимо обратить внимание на то, что обязателен ключ сертификата, а также необходимо установить пароль ключа.

Конвертация из DER в PEM

Конвертация из P7B в PEM

Конвертация из P7B в PFX

Конвертация из PFX в PEM

Конвертация скриптом openssl-ToolKit

OpenSSL ToolKit — скрипт, который облегчает работу с библиотекой OpenSSL. Работа со скриптом является безопасным решением, т.к сертификаты и ключи сертификата никуда не передаются, а используются непосредственно на вашем сервере.

Для начала работы скрипт необходимо скачать и запустить. Сделать это можно одной командой:

echo https://github.com/tdharris/openssl-toolkit/releases/download/1.1.0/openssl-toolkit-1.1.0.zip \ | xargs wget -qO- -O tmp.zip && unzip -o tmp.zip && rm tmp.zip && ./openssl-toolkit/openssl-toolkit.sh

После выполнения команды откроется следующее окно:

Нас интересует пункт 2. Convert certificates

После перехода в пункт 2. появится следующее меню, с выбором нужного типа конвертирования

После выбора преобразования, в данном случае PEM to FPX, скрипт предложит выбрать директорию с сертификатами на том устройстве, где запускается скрипт.

В нашем случае мы их скачали в директорию /home/ivan/crt/

После корректного ввода директории, скрипт отобразит все файлы в этой директории.

Далее нужно ввести имя сертификата, который будем конвертировать, в нашем случае это site.pem

Обращаю ваше внимание, что для корректной конвертации, с PEM в PFX, необходимо вручную объединить файл сертификата, цепочки и ключа в один файл, иначе будет возникать ошибка конвертации.

Сделать это можно простой командой

cat site.crt site.ca-bundle site.key > site.pem

Данное действие необходимо только для конвертации из PEM в PFX.

Мы рассмотрели пример конвертации PEM в PFX. Этим же путем можно конвертировать сертификаты в другие форматы. Единственное, что вам уже не понадобится шаг с объединением файлов.

Пример конвертации PEM В DER.

Cer crt в чем разница

What’s on this Page

.CER вариант №

Файл с расширением .cer отвечает за хранение некоторой информации о сертификате владельца и конкретном открытом ключе. Этот формат файлов не может хранить закрытые ключи и может хранить только один сертификат x509. Специально защищенные центры сертификации — это те, которые принадлежат HTTPS, доверенному и защищенному протоколу для просмотра. CER — это сертификат вашего сервера. Обычно его получает центр сертификации домена. CER в основном считается таким же, как CRT, хотя оба они имеют один и тот же формат SSL-сертификата, но имеют разные расширения имен файлов. Их можно использовать в операционных системах, просто открыв браузер и проверив безопасность используемого браузера или веб-сайта.

Краткая история

В 1995 году Thawte стал первым органом по сертификации, решившим проблему общедоступных сертификатов SSL (защищенная ссылка на сокет) за пределами США. После этого следует ряд таких органов, которые были основаны с 1995 по 2020 год.

Формат файла CER

Эти файлы можно просто

  • PKC S#7 включает кодировку Base64 ASCII.
  • Файлы имеют расширения p7b или p7cZ.
  • Для двоичного содержимого сертификат будет DER или pkcs12/pfx. Существует много типов файлов сертификатов с некоторыми уникальными характеристиками:
  • .pem, Когда организация usThawteificate связывает этот формат в цепочку, это хорошо известно для создания сертификатов
  • .arm, если требуется метод извлечения сертификата, поддерживающего самозаверяющую подпись, указанный формат для этой цели — .arm. Он представлен в кодировке base-64 ASCII.
  • .der, Он состоит из бинарных данных. Это означает, что его можно использовать только для одного сертификата. *.pfx (PKC512), состоит из закрытого ключа, соответствующего сертификату, выданному CA, или самозаверяющему сертификату. Этот формат хорошо известен для преобразования одной реализации SSL в другую.

See Also

  • Формат XVID-файла
  • VID-файл — видеофайл Bethesda
  • Формат файла РА
  • Формат FLV-файла
  • Формат VOB-файла

SSL/TLS: Форматы файлов криптографических ключей PEM

SSL существует достаточно долго, и вы думаете, что будут согласованы форматы контейнеров. И ты прав, есть. Слишком много стандартов, как это происходит. Так что это то, что я знаю, и я уверен, что другие будут вмешиваться.

  • .csr — это запрос на подпись сертификата. Некоторые приложения могут генерировать их для отправки в центры сертификации. Фактический формат — PKCS10, который определен в RFC 2986 . Он включает в себя некоторые / все ключевые детали запрашиваемого сертификата, такие как субъект, организация, состояние, еще много чего, а также открытый ключ сертификата для подписи. Они подписываются центром сертификации и возвращаются сертификаты. Возвращенный сертификат является открытым сертификатом (который включает в себя открытый ключ, но не закрытый ключ), который может быть в нескольких форматах.
  • .pem — определено в RFC с 1421 по 1424 , это формат контейнера, который может включать в себя только открытый сертификат (например, при установке Apache и файлы сертификатов CA /etc/ssl/certs ) или может включать в себя всю цепочку сертификатов, включая открытый ключ, закрытый ключ и корневые сертификаты. Смущает, что он также может кодировать CSR (например, как здесь используется ), поскольку формат PKCS10 может быть переведен в PEM. Название взято из Privacy Enhanced Mail (PEM) , неудавшегося метода для защищенной электронной почты, но используемый формат контейнера живет на нем и является переводом base64 ключей ASN.1 x509.
  • .key — это файл в формате PEM, содержащий только закрытый ключ определенного сертификата и являющийся просто условным именем, а не стандартизированным. В установках Apache это часто происходит в /etc/ssl/private . Права на эти файлы очень важны, и некоторые программы откажутся загружать эти сертификаты, если они установлены неправильно.
  • .pkcs12 .pfx .p12 — бинарный формат контейнера с паролем. Первоначально определенный RSA в стандартах криптографии с открытым ключом (сокращенно PKCS), вариант «12» был изначально усовершенствован Microsoft и позже представлен как RFC 7292 . Это формат контейнера с паролем, который содержит как открытые, так и частные пары сертификатов. В отличие от файлов .pem, этот контейнер полностью зашифрован. Openssl может превратить это в файл .pem с открытым и закрытым ключами: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes
  • .jks — бинарный формат контейнера Java. Для работы с ним есть Linux утилита keytool .

Несколько других форматов, которые появляются время от времени:

  • .der — способ кодировать синтаксис ASN.1 в двоичном формате. Файл .pem — это просто файл .der в кодировке Base64. OpenSSL может преобразовать их в .pem ( openssl x509 -inform der -in to-convert.der -out converted.pem ). Windows видит их как файлы сертификатов. По умолчанию Windows экспортирует сертификаты как файлы в формате .DER с другим расширением.
  • .cert .cer .crt — файл в формате .pem (или редко .der) с другим расширением, который распознается проводником Windows как сертификат, а не .pem.
  • .p7b .keystore — определен в RFC 2315 как PKCS номер 7, это формат, используемый Windows для обмена сертификатами. Java понимает их изначально и .keystore вместо этого часто использует как расширение. В отличие от сертификатов стиля .pem, этот формат имеет определенный способ включения сертификатов пути сертификации.
  • .crl — Список отзыва сертификатов. Центры сертификации производят их как способ отмены авторизации сертификатов до истечения срока их действия. Иногда вы можете загрузить их с веб-сайтов CA.

Таким образом, существует четыре различных способа представления сертификатов и их компонентов:

  • PEM — управляется RFC, преимущественно используется программным обеспечением с открытым исходным кодом. Он может иметь различные расширения (.pem, .key, .cer, .cert, другие)
  • PKCS7 — открытый стандарт, используемый Java и поддерживаемый Windows. Не содержит материала закрытого ключа.
  • PKCS12, PFX — частный стандарт Microsoft, который был позже определен в RFC, который обеспечивает повышенную безопасность по сравнению с открытым текстом PEM. Это может содержать материал закрытого ключа. Он используется преимущественно системами Windows, и может быть свободно преобразован в формат PEM с помощью openssl.
  • DER — родительский формат PEM. Полезно думать о нем как о двоичной версии файла PEM в кодировке base64. Обычно не используется за пределами Windows.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *