Jaký je rozdíl mezi .pfx a .cert soubory certifikátů?
Distribuujeme .pfx nebo .cert pro ověření klienta?
Komentáře
- Také [ 1 ] , [ 2 ] , [ 3 ]
Odpověď
Existují dva objekty: soukromý klíč , který vlastní server , udržuje tajemství a používá k přijímání nových připojení SSL; a veřejný klíč , který je matematicky propojen se soukromým klíčem a je označen jako „veřejný“: je odeslán každému klientovi jako součást počátečních kroků připojení.
certifikát je nominálně kontejner pro veřejný klíč. Zahrnuje veřejný klíč, název serveru, některé další informace o serveru a podpis vypočítaný certifikační autoritou (CA). Když server odešle svůj veřejný klíč klientovi, odešle ve skutečnosti svůj certifikát s několika dalšími certifikáty (certifikát, který obsahuje veřejný klíč CA, která podepsala svůj certifikát, a certifikát pro CA, která podepsala CA certifikát atd.). Certifikáty jsou skutečně veřejné objekty.
Někteří lidé používají výraz „certifikát“ k označení jak certifikátu, tak soukromého klíče; toto je běžný zdroj záměny. Osobně se držím přísná definice, pro kterou je certifikát podepsaným kontejnerem pouze pro veřejný klíč.
Soubor .pfx je archiv PKCS # 12 : taška, která může obsahovat mnoho objektů s volitelnou ochranou heslem; ale archiv PKCS # 12 obvykle obsahuje certifikát (případně s nejrůznější sadou certifikátů CA) a odpovídající soukromý klíč.
Na druhou stranu a .cert (nebo .cer nebo
) soubor obvykle obsahuje jeden certifikát, samostatně a bez jakéhokoli zalamování (žádný soukromý klíč, žádná ochrana heslem, pouze certifikát).
Komentáře
- Při ověřování klienta vyžadujeme, aby byl v klientském prohlížeči nainstalován certifikát klienta SSL. Je to soubor .pfx nebo .cert?
- Certifikáty jsou veřejná data; každý je má. Ověření klienta je ale o tom, aby klient udělal něco, co dokáže jen ten klient; takže klient musí vědět něco, co není veřejné, a to ‚ je soukromý klíč. Klient tedy musí mít spolu s certifikátem soukromý klíč; pokud byl klíč vygenerován z klientského prohlížeče, pak je očekávaným nastavením jeho import do klienta spolu s certifikátem. Proto soubor .pfx.
- Mám soubor .pfx ze serveru IIS, kde je nainstalován můj certifikát. Je to soubor .pfx, který by měl být distribuován? Protože CA poskytla soubor .cert včetně klíčů, který byl nainstalován na serveru.
- @ Xsecure123 no; ‚ zde jsou dva scénáře – a Thomas odpovídal pouze pro ověření klienta (kde má každý klient vlastní ‚ vlastní soukromý certifikát prokázat svou vlastní identitu). – Vypadá to, že ‚ děláte něco jiného – zní to, jako byste ‚ ve službě IIS používali certifikát s vlastním podpisem a klienti tomu ‚ nedůvěřují. – V takovém případě byste měli dát klientům soubor .cer ze serveru. – protože klienti potřebují k důvěryhodnosti serveru pouze veřejný klíč. – Pokud mají také soukromý klíč, mohou se vydávat za server nebo dešifrovat jeho ‚ s provoz, a to ‚ s ne něco, co chcete.
- @ BrainSlugs83: Co myslíte soukromým certifikátem. Thomas uvedl, že certifikáty jsou veřejná data. Můžete to prosím upřesnit?
Odpovědět
Vím, že se jedná o rok staré vlákno, ale pro budoucí čtenáře , jak je uvedeno výše, ne, nebudete distribuovat soubor .pfx, protože to je soubor obsahující soukromý klíč. Certifikát (který je veřejný) můžete extrahovat a distribuovat ze souboru .pfx pomocí metody popsané zde: https://stackoverflow.com/questions/403174/convert-pfx-to-cer
Komentáře
- Kam byste měli bezpečně uložit soubor pfx na serveru? Je zřejmé, že byste pomocí svého souboru PFX ‚ nechtěli jinou aplikaci, ale ‚ si nemyslím, že ‚ chci to uložit i se svou aplikací.Stačí jej importovat do správce certifikátů stroje a získat k němu přístup programově?
- Správa soukromého klíče @Matt je celé téma samo o sobě. Některé relevantní odpovědi najdete zde a zde (poslední není přísně relevantní pro soubory PFX, ale stále nový). Samotný soubor PFX nemusí být ‚ uložen na vašem serveru (tj. Pokud ‚ používáte IIS7, ‚ d importujete PFX; pokud ne,
d extrahujete certifikát & soukromý klíč z PFX do svých vlastních souborů).
Odpověď
Co je rozdíl mezi soubory certifikátů .pfx a .cert?
Odpověď, kterou dal @Thomas Pornin, je docela dobrá.
Distribuujeme pro ověření klienta .pfx nebo .cert?
To záleží na použitém procesu.
Typický proces pro nastavení externího klienta k autentizaci pomocí certifikátu je následující: 1) klient vygeneruje asymetrický pár klíčů (veřejný a soukromý klíč); 2) klient vygeneruje požadavek na podpis certifikátu pro veřejný klíč a odešle jej na server; 3) server podepíše veřejný klíč a vrátí tento podpis (“ certifikát „) klientovi; 4) klient uloží soukromý klíč spolu s tímto certifikátem do svého úložiště klíčů. Nyní, když se klient připojí k serveru, je předložen certifikát a klient je ověřen.
Ve výše uvedeném scénáři je “ .cert “ je odeslán zpět klientovi.
Mnoho organizací interně provede tento proces pro své zaměstnance. V této situaci dojde k následujícímu: pracovníci IT generují pár veřejného a soukromého klíče pro zaměstnance spolu s požadavkem na podepsání certifikátu. Poté podepíší veřejný klíč (pomocí své soukromé certifikační autority) a umístí výsledný certifikát spolu s odpovídajícím soukromým klíčem a všemi zprostředkujícími certifikáty CA (“ řetězec certifikátů „) v úložišti klíčů uživatele.
V tomto scénáři je “ .pfx “ (nebo “ .pem „) by bylo vhodné, protože by obsahovalo všechny položky potřebné k ověření klienta: soukromý klíč, certifikát a řetězec certifikátů.
Vyhledejte “ automatický zápis certifikátu “ a vyhledejte způsob automatizovat tento proces pro vaše podnikové uživatele a zařízení.