august 10, 2020
Articles
Ingen kommentarer

Forskel mellem .pfx- og .cert-certifikater

Hvad er forskellen mellem .pfx og .cert certifikatfiler?

Distribuerer vi .pfx eller .cert til klientgodkendelse?

Kommentarer

Svar

Der er to objekter: den private nøgle , hvilket er hvad serveren ejer , holder hemmeligt og bruger til at modtage nye SSL-forbindelser; og offentlig nøgle som er matematisk knyttet til den private nøgle og gjort “offentlig”: den sendes til hver klient som en del af de indledende trin i forbindelsen.

certifikat er som udgangspunkt en container til den offentlige nøgle. Det inkluderer den offentlige nøgle, servernavnet, nogle ekstra oplysninger om serveren og en signatur beregnet af en certificeringsmyndighed (CA). Når serveren sender sin offentlige nøgle til en klient, sender den faktisk sit certifikat med et par andre certifikater (certifikatet, der indeholder den offentlige nøgle for den CA, der har underskrevet sit certifikat, og certifikatet for den CA, der har underskrevet CAs certifikat osv.). Certifikater er iboende offentlige genstande.

Nogle bruger udtrykket “certifikat” til at betegne både certifikatet og den private nøgle. Dette er en almindelig kilde til forvirring. Jeg holder mig personligt til den strenge definition, for hvilken certifikatet kun er den underskrevne container til den offentlige nøgle.

En .pfx -fil er en PKCS # 12-arkiv : en pose, der kan indeholde mange objekter med valgfri adgangskodebeskyttelse; men som regel indeholder et PKCS # 12-arkiv et certifikat (muligvis med dets assorterede sæt CA-certifikater) og den tilsvarende private nøgle.

På den anden side en .cert (eller .cer eller

  • Under klientgodkendelse kræver vi, at ssl-klientcertifikat installeres i klientbrowseren. Er denne .pfx-fil eller .cert-fil?
  • Certifikater er offentlige data; alle har dem. Men klientgodkendelse handler om at få klienten til at gøre noget, som kun som klienten kan gøre; så klienten skal vide noget, der ikke er offentligt, og at ‘ er den private nøgle. Klienten skal således have en privat nøgle sammen med sit certifikat; hvis nøglen blev genereret ud af klientbrowseren, er den forventede opsætning at importere den til klienten sammen med certifikatet. Derfor en .pfx-fil.
  • Jeg har .pfx-fil fra IIS-serveren, hvor mit certifikat er installeret. Er dette den .pfx-fil, der skal distribueres? Da CA leverede .cert-fil inklusive nøgler, der blev installeret på serveren.
  • @ Xsecure123 no; der ‘ er to scenarier her – og Thomas svarede kun for klientautentisering (hvor hver klient har det ‘ s eget private certifikat til bevise deres egen identitet). – Det lyder som om du ‘ laver noget andet – det lyder som om du ‘ bruger et selvsigneret certifikat i IIS, og klienterne ‘ stoler ikke på det. – I så fald skal du give klienterne en .cer-fil fra serveren. – fordi klienterne kun har brug for den offentlige nøgle for at stole på serveren. – Hvis de også har den private nøgle, kan de efterligne serveren eller dekryptere den ‘ s trafik, og at ‘ s ikke noget, du vil have.
  • @ BrainSlugs83: Hvad mener du med privat certifikat. Thomas nævnte, at certifikater er offentlige data. Kan du venligst uddybe?

    • Svar

    Jeg ved, at dette er en år gammel tråd, men for fremtidige læsere , som nævnt ovenfor, nej, du distribuerer ikke .pfx-filen, fordi det er den fil, der indeholder den private nøgle. Du kan udtrække og distribuere certifikatet (som er offentligt) fra .pfx-filen via den metode, der er beskrevet her: https://stackoverflow.com/questions/403174/convert-pfx-to-cer

    Kommentarer

    • Hvor skal du gemme pfx-filen sikkert på serveren? Det er klart, at du ikke vil ‘ ikke vil have en anden applikation ved hjælp af din PFX-fil, men jeg tror ikke ‘ jeg ‘ Jeg vil heller ikke gemme det med min applikation.Vil du bare importere det til maskincertadministratoren og få adgang til det programmatisk?
    • @Matt privat nøglehåndtering er et helt emne i sig selv. Nogle relevante svar findes her og her (sidstnævnte ‘ er ikke strengt relevante for PFX-filer, men stadig nye). Selve PFX-filen behøver ‘ ikke at blive gemt på din server (dvs. hvis du ‘ bruger IIS7, skal du ‘ d importerer PFX; hvis ikke, skal du ‘ d udtrække cert & privat nøgle fra PFX i deres egne filer).

    Svar

    Hvad er forskellen mellem .pfx- og .cert-certifikatfiler?

    Svaret, som @Thomas Pornin gav, er ret godt.

    Distribuerer vi .pfx eller .cert til klientgodkendelse?

    Det afhænger af den anvendte proces.

    Den typiske proces til opsætning af en ekstern klient til godkendelse ved hjælp af et certifikat er som følger: 1) klienten genererer et asymmetrisk nøglepar (offentlige og private nøgler); 2) klienten genererer en anmodning om certifikatsignering for den offentlige nøgle og sender denne til serveren; 3) serveren underskriver den offentlige nøgle og returnerer denne signatur (” certifikat “) til klienten; 4) klienten gemmer den private nøgle sammen med dette certifikat i sin nøglelager. Når klienten nu opretter forbindelse til serveren, præsenteres certifikatet, og klienten godkendes.

    I ovenstående scenarie er en ” .cert ” sendes tilbage til klienten.

    Internt vil mange organisationer udføre denne proces for deres medarbejdere. I denne situation sker følgende: IT-personalet genererer det offentlige og private nøglepar til en medarbejder sammen med anmodningen om certifikatunderskrivelse. De underskriver derefter den offentlige nøgle (ved hjælp af deres private certifikatmyndighed) og placerer det resulterende certifikat sammen med den tilsvarende private nøgle og alle mellemliggende CA-certifikater (” certifikatkæden “), i brugerens nøglelager.

    I dette scenarie er en ” .pfx ” (eller ” .pem “) ville være passende, da det ville indeholde alle de emner, der er nødvendige for klientgodkendelse: den private nøgle, certifikatet og certifikatkæden.

    Søg efter ” Automatisk tilmelding af certifikat ” for en måde for at automatisere denne proces for dine virksomhedsbrugere og enheder.

    Skriv et svar

    Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *