Wat is het verschil tussen .pfx en .cert certificaatbestanden?
Verdelen we .pfx of .cert voor client-authenticatie?
Reacties
- Ook [ 1 ] , [ 2 ] , [ 3 ]
Answer
Er zijn twee objecten: de private key , dat is wat de server bezit , houdt geheim en gebruikt om nieuwe SSL-verbindingen te ontvangen; en de openbare sleutel die wiskundig is gekoppeld aan de privésleutel en “openbaar” is gemaakt: deze wordt naar elke client verzonden als onderdeel van de eerste stappen van de verbinding.
De certificaat is nominaal een container voor de openbare sleutel. Het bevat de openbare sleutel, de servernaam, wat extra informatie over de server en een handtekening die is berekend door een certificeringsinstantie (CA). Wanneer de server zijn openbare sleutel naar een client verzendt, verzendt hij feitelijk zijn certificaat, samen met een paar andere certificaten (het certificaat dat de openbare sleutel bevat van de CA die het certificaat heeft ondertekend, en het certificaat voor de CA die de CAs heeft ondertekend. certificaat, enzovoort). Certificaten zijn intrinsiek openbare objecten.
Sommige mensen gebruiken de term certificaat om zowel het certificaat als de privésleutel aan te duiden. Dit is een veelvoorkomende bron van verwarring. Ik blijf persoonlijk bij de strikte definitie waarvoor het certificaat de ondertekende container is voor alleen de openbare sleutel.
Een .pfx -bestand is een PKCS # 12-archief : een zak die veel objecten kan bevatten met optionele wachtwoordbeveiliging; maar meestal bevat een PKCS # 12-archief een certificaat (mogelijk met de bijbehorende set CA-certificaten) en de bijbehorende privésleutel.
Aan de andere kant, een .cert (of .cer of
) bestand bevat meestal een enkel certificaat, alleen en zonder enige verpakking (geen privésleutel, geen wachtwoordbeveiliging, alleen het certificaat).
Opmerkingen
- Tijdens het uitvoeren van client-authenticatie, moeten we het SSL-clientcertificaat installeren op de clientbrowser. Is dit .pfx-bestand of .cert-bestand?
- Certificaten zijn openbare gegevens; iedereen heeft ze. Maar bij cliëntauthenticatie gaat het erom de cliënt iets te laten doen dat alleen die cliënt kan doen; dus de cliënt moet iets weten dat niet openbaar is, en dat ‘ de privésleutel is. De client moet dus een privésleutel hebben samen met zijn certificaat; als de sleutel is gegenereerd vanuit de clientbrowser, is de verwachte installatie om deze samen met het certificaat in de client te importeren. Daarom een .pfx-bestand.
- Ik heb een .pfx-bestand van de IIS-server waarop mijn certificaat is geïnstalleerd. Is dit het .pfx-bestand dat moet worden verspreid? Omdat CA een .cert-bestand heeft geleverd inclusief sleutels die op de server zijn geïnstalleerd.
- @ Xsecure123 nee; er zijn ‘ s twee scenarios hier – en Thomas antwoordde alleen voor cliëntauth (waarbij elke cliënt het ‘ s eigen privécertificaat heeft om hun eigen identiteit bewijzen). – Het klinkt alsof u ‘ iets anders doet – het klinkt alsof u ‘ een zelfondertekend certificaat in IIS gebruikt, en de clients ‘ vertrouwen het niet. – In dat geval moet u de clients een .cer-bestand van de server geven. – omdat de clients alleen de openbare sleutel nodig hebben om de server te vertrouwen. – Als ze ook de privésleutel hebben, kunnen ze zich voordoen als de server, of het ‘ s verkeer ontsleutelen, en dat ‘ s niet iets dat je wilt.
- @ BrainSlugs83: Wat bedoel je met privécert. Thomas zei dat certificaten openbare gegevens zijn. Kun je alsjeblieft uitweiden?
Antwoord
Ik weet dat dit een jaar oude thread is, maar voor toekomstige lezers , zoals hierboven vermeld, nee, u distribueert het .pfx-bestand niet, want dat is het bestand met de privésleutel. U kunt het certificaat (dat openbaar is) uit het .pfx-bestand extraheren en distribueren via de hier beschreven methode: https://stackoverflow.com/questions/403174/convert-pfx-to-cer
Reacties
- Waar moet je het pfx-bestand veilig op de server opslaan? Het is duidelijk dat je ‘ geen andere applicatie wilt die je PFX-bestand gebruikt, maar ik denk niet dat ‘ ik ‘ zou het ook bij mijn applicatie willen opslaan.Zou je het gewoon in de machine cert manager willen importeren en het programmatisch benaderen?
- @Matt private key management is een heel onderwerp op zich. Sommige relevante antwoorden kunnen hier en hier worden gevonden (de laatste ‘ s niet strikt relevant voor PFX-bestanden, maar nog steeds nieuw). Het PFX-bestand zelf hoeft niet ‘ t te worden opgeslagen op uw server (dwz als u ‘ IIS7 gebruikt, gebruikt u ‘ d importeer de PFX; zo niet, dan ‘ pakt u de & privésleutel uit de PFX in hun eigen bestanden).
Antwoord
Wat is het verschil tussen .pfx- en .cert-certificaatbestanden?
Het antwoord dat @Thomas Pornin gaf is redelijk goed.
Verdelen we .pfx of .cert voor client-authenticatie?
Dat hangt af van het gebruikte proces.
Het typische proces voor het instellen van een externe client voor authenticatie met behulp van een certificaat is als volgt: 1) de client genereert een asymmetrisch sleutelpaar (publieke en private sleutels); 2) de cliënt genereert een certificaatondertekeningsverzoek voor de publieke sleutel en stuurt dit naar de server; 3) de server ondertekent de publieke sleutel en stuurt deze handtekening (het ” certificaat “) terug naar de client; 4) de client slaat de privésleutel samen met dit certificaat op in zijn keystore. Wanneer de client nu verbinding maakt met de server, wordt het certificaat gepresenteerd en wordt de client geverifieerd.
In het bovenstaande scenario wordt een ” .cert ” wordt teruggestuurd naar de klant.
Intern zullen veel organisaties dit proces voor hun werknemers uitvoeren. In deze situatie gebeurt het volgende: het IT-personeel genereert het openbare en persoonlijke sleutelpaar voor een werknemer samen met het verzoek om certificaatondertekening. Vervolgens ondertekenen ze de openbare sleutel (met behulp van hun privécertificeringsinstantie) en plaatsen het resulterende certificaat, samen met de bijbehorende privésleutel en alle tussenliggende CA-certificaten (de ” certificaatketen “), in de keystore van de gebruiker.
In dit scenario wordt een ” .pfx ” (of ” .pem “) zou geschikt zijn omdat het alle items zou bevatten die nodig zijn voor cliëntauthenticatie: de privé sleutel, het certificaat en de certificaatketen.
Zoek naar ” Automatische inschrijving van certificaat ” voor een manier om dit proces voor uw zakelijke gebruikers en apparaten te automatiseren.