.pfx와 인증서 파일?
클라이언트 인증을 위해 .pfx 또는 .cert를 배포합니까?
p>
댓글
- 또한 [ 1 ] , [ 2 ] , [ 3 ]
답변
두 가지 개체가 있습니다. 서버가 소유하는 개인 키 , 비밀을 유지하고 새 SSL 연결을 수신하는 데 사용합니다. 그리고 개인 키에 수학적으로 연결되어 “공개”가 된 공개 키 : 연결의 초기 단계의 일부로 모든 클라이언트에 전송됩니다.
The 인증서 는 명목상 공개 키의 컨테이너입니다. 여기에는 공개 키, 서버 이름, 서버에 대한 추가 정보, 인증 기관 (CA)에서 계산 한 서명이 포함됩니다. 서버가 클라이언트에게 공개 키를 보낼 때 실제로 다른 인증서 (인증서에 서명 한 CA의 공개 키가 포함 된 인증서 및 CA에 서명 한 CA의 인증서가 포함 된 인증서)와 함께 인증서를 보냅니다. 인증서 등). 인증서는 본질적으로 공개 개체입니다.
어떤 사람들은 “인증서”라는 용어를 사용하여 인증서와 개인 키를 모두 지정합니다. 이것은 일반적인 혼동의 원인입니다. 저는 개인적으로 인증서가 공개 키에 대해서만 서명 된 컨테이너 인 엄격한 정의입니다.
.pfx 파일은 PKCS # 12 아카이브 : 선택적 비밀번호 보호 기능이있는 많은 객체를 포함 할 수있는 백. 그러나 일반적으로 PKCS # 12 아카이브에는 인증서가 포함되어 있습니다 (아마도 여러 CA 인증서 세트와 함께). 및 해당 개인 키.
반면에 .cert (또는 .cer 또는
) 파일에는 일반적으로 하나의 인증서 만 포함되어 있으며 랩핑없이 단독으로 사용됩니다 (개인 키 없음, 비밀번호 보호 없음, 인증서 만).
댓글
- 클라이언트 인증을 수행하는 동안 SSL 클라이언트 인증서를 클라이언트 브라우저에 설치해야합니다. 이 .pfx 파일 또는 .cert 파일입니까?
- 인증서는 공개 데이터입니다. 모두 가지고 있습니다. 그러나 클라이언트 인증은 클라이언트가 클라이언트 만 할 수있는 일을 클라이언트가 수행하도록하는 것입니다. 따라서 클라이언트는 공개되지 않은 것을 알아야하며 '는 개인 키입니다. 따라서 클라이언트에는 인증서와 함께 개인 키가 있어야합니다. 키가 클라이언트 브라우저에서 생성 된 경우 예상되는 설정은 인증서와 함께 클라이언트로 가져 오는 것입니다. 따라서 .pfx 파일입니다.
- 인증서가 설치된 IIS 서버에서 .pfx 파일을 받았습니다. 배포해야하는 .pfx 파일입니까? CA가 서버에 설치된 키를 포함한 .cert 파일을 제공했기 때문입니다.
- @ Xsecure123 no; ' 여기에 두 가지 시나리오가 있습니다. Thomas는 클라이언트 인증에 대해서만 응답했습니다 (각 클라이언트는 ' 자신의 정체성 증명). -' 다른 작업을 수행중인 것 같습니다. ' IIS에서 자체 서명 된 인증서를 사용하는 것 같습니다. 클라이언트는 ' 그것을 신뢰하지 않습니다. -이 경우 클라이언트에게 서버의 .cer 파일을 제공해야합니다. -클라이언트는 서버를 신뢰하기 위해 공개 키만 필요하기 때문입니다. -또한 개인 키가있는 경우 서버를 가장하거나 '의 트래픽 및 해당 '의 트래픽을 해독 할 수 있습니다. 원하는 것이 아닙니다.
- @ BrainSlugs83 : 개인 인증서 란 무엇을 의미합니까? Thomas는 인증서가 공개 데이터라고 언급했습니다. 자세히 설명해 주시겠습니까?
답변
이 글이 1 년 된 스레드라는 것을 알고 있지만 미래의 독자를위한 것입니다. , 위에서 언급했듯이 .pfx 파일은 개인 키가 포함 된 파일이므로 배포하지 않습니다. 여기에 설명 된 방법을 통해 .pfx 파일에서 인증서 (공개)를 추출하고 배포 할 수 있습니다. https://stackoverflow.com/questions/403174/convert-pfx-to-cer
설명
- 서버에서 pfx 파일을 어디에 안전하게 저장해야합니까? 분명히 ' PFX 파일을 사용하는 다른 애플리케이션을 원하지는 않지만 ' 나는 ' d는 내 응용 프로그램과 함께 저장하고 싶습니다.시스템 인증서 관리자로 가져 와서 프로그래밍 방식으로 액세스 하시겠습니까?
- @Matt 개인 키 관리는 그 자체로 전체 주제입니다. 관련 답변은 여기 및 여기 (후자는 '는 PFX 파일과 엄격하게 관련되지 않지만 여전히 참신함). PFX 파일 자체는 ' 서버에 저장할 필요가 없습니다 (예 : ' IIS7을 사용하는 경우 ' d는 PFX를 가져오고 그렇지 않은 경우 ' PFX에서 인증서 & 개인 키를 추출합니다. 자체 파일에 추가).
답변
내용 .pfx와 .cert 인증서 파일의 차이점은 무엇입니까?
@Thomas Pornin이 제공 한 대답은 꽤 좋습니다.
클라이언트 인증을 위해 .pfx 또는 .cert를 배포합니까?
사용 된 프로세스에 따라 다릅니다.
인증서를 사용하여 인증하도록 외부 클라이언트를 설정하는 일반적인 프로세스는 다음과 같습니다. 1) 클라이언트가 비대칭 키 쌍 (공개 및 개인 키)을 생성합니다. 2) 클라이언트는 공개 키에 대한 인증서 서명 요청을 생성하고이를 서버로 보냅니다. 3) 서버는 공개 키에 서명하고이 서명 (" 인증서 ")을 클라이언트에 반환합니다. 4) 클라이언트는이 인증서와 함께 개인 키를 키 저장소에 저장합니다. 이제 클라이언트가 서버에 연결되면 인증서가 제공되고 클라이언트가 인증됩니다.
위 시나리오에서 " .cert "가 고객에게 다시 전송됩니다.
내부적으로 많은 조직에서 직원을 위해이 프로세스를 수행합니다. 이 상황에서 다음과 같은 상황이 발생합니다. IT 직원이 인증서 서명 요청과 함께 직원에 대한 공개 및 개인 키 쌍을 생성합니다. 그런 다음 개인 인증 기관을 사용하여 공개 키에 서명하고 결과 인증서를 해당 개인 키 및 모든 중간 CA 인증서 (" 인증 체인 "), 사용자의 키 저장소에 있습니다.
이 시나리오에서 " .pfx " (또는 " .pem ")는 클라이언트 인증에 필요한 모든 항목을 포함하므로 적절합니다. 키, 인증서 및 인증서 체인.
" 인증서 자동 등록 " 검색 방법 기업 사용자 및 장치를 위해이 프로세스를 자동화합니다.