Hva er forskjellen mellom .pfx og .cert sertifikatfiler?
Distribuerer vi .pfx eller .cert for klientautentisering?
Kommentarer
- Også [ 1 ] , [ 2 ] , [ 3 ]
Svar
Det er to objekter: den private nøkkelen , som er det serveren eier , holder hemmelig, og bruker for å motta nye SSL-tilkoblinger; og den offentlige nøkkelen som er matematisk knyttet til den private nøkkelen, og gjort «offentlig»: den sendes til hver klient som en del av de første trinnene i forbindelsen.
sertifikat er nominelt en beholder for den offentlige nøkkelen. Den inkluderer den offentlige nøkkelen, servernavnet, litt ekstra informasjon om serveren og en signatur beregnet av en sertifiseringsmyndighet (CA). Når serveren sender den offentlige nøkkelen til en klient, sender den faktisk sertifikatet sitt, sammen med noen få andre sertifikater (sertifikatet som inneholder den offentlige nøkkelen til CA som signerte sertifikatet, og sertifikatet for CA som signerte CAen sertifikat, og så videre). Sertifikater er iboende offentlige objekter.
Noen bruker begrepet «sertifikat» for å betegne både sertifikatet og den private nøkkelen. Dette er en vanlig kilde til forvirring. Jeg holder meg personlig til den strenge definisjonen som sertifikatet bare er den signerte beholderen for den offentlige nøkkelen.
En .pfx -fil er en PKCS # 12-arkiv : en pose som kan inneholde mange gjenstander med valgfri passordbeskyttelse; men vanligvis inneholder et PKCS # 12-arkiv et sertifikat (muligens med et utvalg av CA-sertifikater) og den tilhørende private nøkkelen.
Derimot en .cert (eller .cer eller
) -filen inneholder vanligvis et enkelt sertifikat, alene og uten innpakning (ingen privat nøkkel, ingen passordbeskyttelse, bare sertifikatet).
Kommentarer
- Mens vi gjør klientautentisering, krever vi at ssl-klientsertifikat installeres i klientleseren. Er denne .pfx-filen eller .cert-filen?
- Sertifikater er offentlige data; alle har dem. Men klientautentisering handler om å få klienten til å gjøre noe som bare som klienten kan gjøre; så klienten må vite noe som ikke er offentlig, og at ‘ er den private nøkkelen. Dermed må klienten ha en privat nøkkel sammen med sertifikatet; Hvis nøkkelen ble generert ut av klientleseren, er det forventede oppsettet å importere den til klienten sammen med sertifikatet. Derfor en .pfx-fil.
- Jeg har fått .pfx-fil fra IIS-serveren der sertifikatet mitt er installert. Er dette .pfx-filen som skal distribueres? Siden CA ga .cert-fil inkludert nøkler som ble installert på serveren.
- @ Xsecure123 no; der ‘ er to scenarier her – og Thomas svarte bare for klientautentisering (der hver klient har det ‘ sitt eget private sertifikat til bevise sin egen identitet). – Det høres ut som du ‘ gjør noe annet – det høres ut som du ‘ bruker et selvsignert sertifikat i IIS, og klientene stoler ikke på ‘. – I så fall bør du gi klientene en .cer-fil fra serveren. – fordi klientene bare trenger den offentlige nøkkelen for å stole på serveren. – Hvis de også har den private nøkkelen, kan de utgi seg for serveren, eller dekryptere den ‘ s trafikk, og at ‘ s ikke noe du vil ha.
- @ BrainSlugs83: Hva mener du med privat sertifikat. Thomas nevnte at sertifikater er offentlige data. Kan du utdype det?
Svar
Jeg vet at dette er en år gammel tråd, men for fremtidige lesere , som nevnt ovenfor, nei du distribuerer ikke .pfx-filen fordi det er filen som inneholder den private nøkkelen. Du kan trekke ut og distribuere sertifikatet (som er offentlig) fra .pfx-filen via metoden beskrevet her: https://stackoverflow.com/questions/403174/convert-pfx-to-cer
Kommentarer
- Hvor skal du lagre pfx-filen sikkert på serveren? Åpenbart vil du ikke ‘ ikke ha et annet program ved hjelp av PFX-filen din, men jeg tror ikke ‘ jeg ‘ vil lagre den med applikasjonen min heller.Vil du bare importere den til maskinsertadministratoren og få tilgang til den programmatisk?
- @Matt private key management er et helt tema for seg selv. Noen relevante svar kan bli funnet her og her (sistnevnte ‘ er ikke strengt relevant for PFX-filer, men fremdeles roman). PFX-filen i seg selv trenger ikke ‘ å lagres på serveren din (dvs. hvis du ‘ bruker IIS7, bruker du ‘ d importerer PFX; hvis ikke, ‘ d trekker ut sert & private nøkkel fra PFX i sine egne filer).
Svar
Hva er forskjellen mellom .pfx- og .cert-sertifikatfiler?
Svaret som @Thomas Pornin ga er ganske bra.
Distribuerer vi .pfx eller .cert for klientautentisering?
Det avhenger av prosessen som brukes.
Den typiske prosessen for å sette opp en ekstern klient for å autentisere ved hjelp av et sertifikat er som følger: 1) klienten genererer et asymmetrisk nøkkelpar (offentlige og private nøkler); 2) klienten genererer en sertifikatsigneringsforespørsel for den offentlige nøkkelen og sender denne til serveren; 3) serveren signerer den offentlige nøkkelen og returnerer denne signaturen (» sertifikat «) til klienten; 4) klienten lagrer den private nøkkelen sammen med dette sertifikatet i nøkkelbutikken. Nå når klienten kobles til serveren, blir sertifikatet presentert og klienten er autentisert.
I scenariet ovenfor, en » .cert » sendes tilbake til klienten.
Internt vil mange organisasjoner utføre denne prosessen for sine ansatte. I denne situasjonen skjer følgende: IT-personalet genererer det offentlige og private nøkkelparet for en ansatt sammen med forespørselen om sertifikatsignering. De signerer deretter den offentlige nøkkelen (ved hjelp av deres private sertifikatmyndighet) og plasserer det resulterende sertifikatet, sammen med den tilsvarende private nøkkelen og alle mellomliggende CA-sertifikater (» sertifikatkjeden «), i brukerens nøkkelbutikk.
I dette scenariet, en » .pfx » (eller » .pem «) vil være hensiktsmessig da den inneholder alle elementene som trengs for klientgodkjenning: den private nøkkel, sertifikatet og sertifikatkjeden.
Søk etter » Sertifikat automatisk påmelding » for en måte for å automatisere denne prosessen for bedriftsbrukere og -enheter.