¿Cuál es la diferencia entre .pfx y .cert archivos de certificado?
¿Distribuimos .pfx o .cert para la autenticación del cliente?
Comentarios
- También [ 1 ] , [ 2 ] , [ 3 ]
Respuesta
Hay dos objetos: la clave privada , que es lo que posee el servidor , se mantiene en secreto y se utiliza para recibir nuevas conexiones SSL; y la clave pública que está matemáticamente vinculada a la clave privada y se hace «pública»: se envía a cada cliente como parte de los pasos iniciales de la conexión.
El certificado es, nominalmente, un contenedor para la clave pública. Incluye la clave pública, el nombre del servidor, información adicional sobre el servidor y una firma calculada por una autoridad de certificación (CA). Cuando el servidor envía su clave pública a un cliente, en realidad envía su certificado, con algunos otros certificados (el certificado que contiene la clave pública de la CA que firmó su certificado y el certificado de la CA que firmó las CA «s certificado, etc.). Los certificados son objetos intrínsecamente públicos.
Algunas personas usan el término «certificado» para designar tanto el certificado como la clave privada; esta es una fuente común de confusión. Yo personalmente me atengo a la definición estricta para la cual el certificado es el contenedor firmado solo para la clave pública.
Un archivo .pfx es un Archivo PKCS # 12 : una bolsa que puede contener una gran cantidad de objetos con protección de contraseña opcional; pero, por lo general, un archivo PKCS # 12 contiene un certificado (posiblemente con su conjunto variado de certificados CA) y la clave privada correspondiente.
Por otro lado, una .cert (o .cer o
) por lo general contiene un solo certificado, solo y sin ningún envoltorio (sin clave privada, sin protección por contraseña, solo el certificado).
Comentarios
- Mientras realizamos la autenticación del cliente, requerimos que el certificado de cliente ssl esté instalado en el navegador del cliente. ¿Es este archivo .pfx o .cert?
- Los certificados son datos públicos; todo el mundo los tiene. Pero la autenticación del cliente consiste en hacer que el cliente haga algo que solo ese cliente puede hacer; por lo que el cliente debe saber algo que no es público y que ‘ es la clave privada. Por lo tanto, el cliente debe tener una clave privada junto con su certificado; si la clave se generó fuera del navegador del cliente, la configuración esperada es importarla al cliente junto con el certificado. Por lo tanto, un archivo .pfx.
- Tengo un archivo .pfx del servidor IIS donde está instalado mi certificado. ¿Es este el archivo .pfx que debería distribuirse? Dado que CA proporcionó el archivo .cert que incluye las claves que se instalaron en el servidor.
- @ Xsecure123 no; Hay ‘ dos escenarios aquí, y Thomas estaba respondiendo solo para la autenticación del cliente (donde cada cliente tiene su propio certificado privado ‘ para probar su propia identidad). – Parece que ‘ estás haciendo otra cosa – parece que ‘ estás usando un certificado autofirmado en IIS, y los clientes no ‘ confían en él. – En ese caso, debe proporcionar a los clientes un archivo .cer del servidor. – porque los clientes solo necesitan la clave pública para confiar en el servidor. – Si también tienen la clave privada, pueden hacerse pasar por el servidor o descifrarlo ‘ s tráfico, y ese ‘ s no es algo que desee.
- @ BrainSlugs83: ¿Qué quiere decir con certificado privado. Thomas mencionó que los certificados son datos públicos. ¿Puedes dar más detalles?
Responder
Sé que este es un hilo de un año, pero para futuros lectores , como se mencionó anteriormente, no, no distribuye el archivo .pfx porque ese es el archivo que contiene la clave privada. Puede extraer y distribuir el certificado (que es público) del archivo .pfx mediante el método que se describe aquí: https://stackoverflow.com/questions/403174/convert-pfx-to-cer
Comentarios
- ¿Dónde debería almacenar el archivo pfx de forma segura en el servidor? Obviamente, no ‘ no querría otra aplicación que use su archivo PFX, pero no ‘ creo que ‘ también querría almacenarlo con mi aplicación.¿Lo importaría al administrador de certificados de la máquina y accedería a él mediante programación?
- La administración de claves privadas de @Matt es un tema en sí mismo. Algunas respuestas relevantes se pueden encontrar aquí y aquí (este último ‘ no es estrictamente relevante para los archivos PFX, pero sigue siendo novedoso). El archivo PFX en sí no ‘ no necesita almacenarse en su servidor (es decir, si ‘ está usando IIS7, ‘ d importar el PFX; de lo contrario, ‘ d extraerá la clave privada cert & del PFX en sus propios archivos).
Responder
¿Qué Cuál es la diferencia entre los archivos de certificado .pfx y .cert?
La respuesta que dio @Thomas Pornin es bastante buena.
¿Distribuimos .pfx o .cert para la autenticación del cliente?
Eso depende del proceso utilizado.
El proceso típico para configurar un cliente externo para que se autentique usando un certificado es el siguiente: 1) el cliente genera un par de claves asimétricas (claves públicas y privadas); 2) el cliente genera una solicitud de firma de certificado para la clave pública y la envía al servidor; 3) el servidor firma la clave pública y devuelve esta firma (el » certificado «) al cliente; 4) el cliente almacena la clave privada junto con este certificado en su almacén de claves. Ahora, cuando el cliente se conecta al servidor, se presenta el certificado y el cliente se autentica.
En el escenario anterior, un » .cert » se envía de vuelta al cliente.
Internamente, muchas organizaciones realizarán este proceso para sus empleados. En esta situación, ocurre lo siguiente: el personal de TI genera el par de claves pública y privada para un empleado junto con la solicitud de firma del certificado. Luego, firman la clave pública (utilizando su autoridad de certificación privada) y colocan el certificado resultante, junto con la clave privada correspondiente y todos los certificados de CA intermedios (la » cadena de certificados «), en el almacén de claves del usuario.
En este escenario, un » .pfx » (o » .pem «) sería apropiado ya que contendría todos los elementos necesarios para la autenticación del cliente: el clave, el certificado y la cadena de certificados.
Busque » Inscripción automática de certificado » para para automatizar este proceso para los usuarios y dispositivos de su empresa.