Mitä eroa on .pfx ja .cert varmentetiedostot?
Jaetaanko .pfx vai .cert asiakastodennusta varten?
kommentit
- myös [ 1 ] , [ 2 ] , [ 3 ]
Vastaus
On olemassa kaksi objektia: yksityinen avain , jonka palvelin omistaa , pitää salassa ja käyttää uusien SSL-yhteyksien vastaanottamiseen; ja julkinen avain , joka on matemaattisesti linkitetty yksityiseen avaimeen ja joka on tehty ”julkiseksi”: se lähetetään jokaiselle asiakkaalle osana yhteyden ensimmäisiä vaiheita.
varmenne on nimellisesti julkisen avaimen säilö. Se sisältää julkisen avaimen, palvelimen nimen, joitain lisätietoa palvelimesta ja allekirjoituksen, jonka varmentaja (CA) on laskenut. Kun palvelin lähettää julkisen avaimen asiakkaalle, se todella lähettää varmenteensa muutamilla muilla varmenteilla (varmenne, joka sisältää varmenteen allekirjoittaneen varmentajan julkisen avaimen, ja varmenteen varmentajalle, joka allekirjoitti varmenteen. sertifikaatti ja niin edelleen.) Sertifikaatit ovat luonnostaan julkisia objekteja.
Jotkut käyttävät termiä ”varmenne” osoittamaan sekä varmenteen että yksityisen avaimen; tämä on yleinen sekaannusten lähde. Pidän henkilökohtaisesti kiinni tiukka määritelmä, jonka varmenne on vain julkisen avaimen allekirjoitettu säilö.
.pfx -tiedosto on PKCS # 12-arkisto : laukku, joka voi sisältää paljon esineitä, joissa on valinnainen salasanasuojaus; mutta yleensä PKCS # 12-arkisto sisältää varmenteen (mahdollisesti valikoiman CA-varmenteita) ja vastaava yksityinen avain.
Toisaalta .cert (tai .cer tai
) tiedosto sisältää yleensä yhden varmenteen, yksin ja ilman kääreitä (ei yksityistä avainta, ei salasanasuojausta, vain varmenne).
Kommentit
- Suorittaessamme asiakastodennusta vaadimme, että ssl-asiakassertifikaatti on asennettuna asiakasselaimeen. Onko tämä .pfx- tai .cert-tiedosto?
- Sertifikaatit ovat julkisia tietoja; kaikilla on niitä. Mutta asiakkaan todennuksessa on kyse siitä, että asiakas tekee jotain, mitä vain joka asiakas voi tehdä; joten asiakkaan on tiedettävä jotain, joka ei ole julkista, ja että ’ on yksityinen avain. Asiakkaalla on siis oltava yksityinen avain varmenteensa kanssa; Jos avain on luotu asiakasselaimesta, odotettu asennus on tuoda se asiakkaaseen varmenteen kanssa. Siksi .pfx-tiedosto.
- Minulla on .pfx-tiedosto IIS-palvelimelta, johon varmenne on asennettu. Onko tämä .pfx-tiedosto, joka pitäisi jakaa? Koska varmentaja toimitti .cert-tiedoston, joka sisältää palvelimelle asennetut avaimet.
- @ Xsecure123 ei; ’ kaksi skenaariota täällä – ja Thomas vastasi vain asiakkaan todennukseen (missä jokaisella asiakkaalla on oma ’ oma varmenne todistaa henkilöllisyytensä). – Kuulostaa siltä, että ’ teet jotain muuta – kuulostaa siltä, että ’ käytät itse allekirjoitettua sertifikaattia IIS: ssä ja Asiakkaat eivät ’ luota siihen. – Siinä tapauksessa sinun tulee antaa asiakkaille .cer-tiedosto palvelimelta. – koska asiakkaat tarvitsevat vain julkisen avaimen luottamaan palvelimeen. – Jos heillä on myös yksityinen avain, he voivat esiintyä palvelimena tai purkaa sen ’ liikenteen ja ’ s ei jotain mitä haluat.
- @ BrainSlugs83: Mitä tarkoitat yksityisellä sertifikaatilla. Thomas mainitsi, että varmenteet ovat julkisia tietoja. Voitteko kertoa tarkemmin?
Vastaa
Tiedän, että tämä on vuoden ikäinen ketju, mutta tuleville lukijoille , kuten edellä mainittiin, ei, et jaa .pfx-tiedostoa, koska se on tiedosto, joka sisältää yksityisen avaimen. Voit purkaa ja jakaa varmenteen (joka on julkinen) .pfx-tiedostosta tässä kuvatulla tavalla: https://stackoverflow.com/questions/403174/convert-pfx-to-cer
Kommentit
- Mihin pfx-tiedosto tulisi tallentaa turvallisesti palvelimelle? Ilmeisesti et halua ’ et halua toista sovellusta PFX-tiedostosi avulla, mutta en ’ usko minun mielestäni ’ haluan tallentaa sen myös sovellukseeni.Tuodaanko se vain koneen sertifikaattihallintaan ja käytettäisiin sitä ohjelmallisesti?
- @Mattin yksityisen avaimen hallinta on koko aihe itsessään. Joitakin asiaankuuluvia vastauksia löytyy täältä ja täältä (jälkimmäinen ’ eivät ole ehdottoman tärkeitä PFX-tiedostoille, mutta silti uudet). Itse PFX-tiedostoa ei tarvitse ’ ei tarvitse tallentaa palvelimellesi (ts. Jos ’ käyttää IIS7: tä, ’ d tuo PFX; jos ei, ’ d purat yksityisen cert & -avaimen PFX: stä omiin tiedostoihinsa.
Vastaa
Mitä onko ero .pfx- ja .cert-varmentetiedostojen välillä?
@Thomas Pornin vastaus on melko hyvä.
Jaetaanko .pfx- tai .cert-asiakastodennusta varten?
Tämä riippuu käytetystä prosessista.
Tyypillinen prosessi ulkoisen asiakkaan määrittämiseksi todentamaan varmenteen avulla on seuraava: 1) asiakas luo epäsymmetrisen avainparin (julkiset ja yksityiset avaimet); 2) asiakas generoi varmenteen allekirjoituspyynnön julkiselle avaimelle ja lähettää sen palvelimelle; 3) palvelin allekirjoittaa julkisen avaimen ja palauttaa tämän allekirjoituksen (” -sertifikaatti ”) asiakkaalle; 4) asiakas tallentaa yksityisen avaimen yhdessä tämän varmenteen kanssa avaimetallaan. Nyt kun asiakas muodostaa yhteyden palvelimeen, varmenne esitetään ja asiakas todennetaan.
Yllä olevassa skenaariossa ” .cert ” lähetetään takaisin asiakkaalle.
Sisäisesti monet organisaatiot suorittavat tämän prosessin työntekijöilleen. Tässä tilanteessa tapahtuu seuraava: IT-henkilöstö luo julkisen ja yksityisen avaimen parin työntekijälle yhdessä varmenteen allekirjoituspyynnön kanssa. Tämän jälkeen he allekirjoittavat julkisen avaimen (käyttämällä yksityistä varmenteen myöntäjää) ja sijoittavat tuloksena olevan varmenteen yhdessä vastaavan yksityisen avaimen ja kaikkien välivarmentajan varmenteiden kanssa (” varmenteketju ”) käyttäjän avainvarastossa.
Tässä tilanteessa ” .pfx ” (tai ” .pem ”) olisi sopiva, koska se sisältäisi kaikki asiakkaan todentamiseen tarvittavat kohteet: yksityinen avain, varmenne ja varmenteketju.
Etsi tapaa ” Varmenteen automaattinen rekisteröinti ”. automatisoida tämä prosessi yrityksesi käyttäjille ja laitteille.