Care este diferența dintre .pfx și .cert fișiere de certificate?
Distribuim .pfx sau .cert pentru autentificarea clientului?
Comentarii
- De asemenea, [ 1 ] , [ 2 ] , [ 3 ]
Răspuns
Există două obiecte: cheia privată , care este proprietatea serverului , păstrează secret și folosește pentru a primi noi conexiuni SSL; și cheia publică care este legată matematic de cheia privată și este făcută „publică”: este trimisă fiecărui client ca parte a etapelor inițiale ale conexiunii.
certificate este, în mod nominal, un container pentru cheia publică. Acesta include cheia publică, numele serverului, câteva informații suplimentare despre server și o semnătură calculată de o autoritate de certificare (CA). Când serverul trimite cheia sa publică către un client, acesta trimite de fapt certificatul său, împreună cu alte câteva certificate (certificatul care conține cheia publică a CA care a semnat certificatul său și certificatul pentru CA care a semnat CA certificat și așa mai departe). Certificatele sunt obiecte intrinsec publice.
Unii oameni folosesc termenul „certificat” pentru a desemna atât certificatul, cât și cheia privată; aceasta este o sursă obișnuită de confuzie. definiția strictă pentru care certificatul este containerul semnat numai pentru cheia publică.
Un fișier .pfx este un PKCS # 12 arhivă : o pungă care poate conține o mulțime de obiecte cu protecție opțională prin parolă; dar, de obicei, o arhivă PKCS # 12 conține un certificat (posibil cu setul său asociat de certificate CA) și cheia privată corespunzătoare.
Pe de altă parte, o .cert (sau .cer sau
) fișierul conține de obicei un singur certificat, singur și fără nicio împachetare (fără cheie privată, fără protecție prin parolă, doar certificat).
Comentarii
- În timpul autentificării clientului, este necesar ca certificatul de client ssl să fie instalat în browserul clientului. Este acest fișier .pfx sau fișier .cert?
- Certificatele sunt date publice; toată lumea le are. Dar autentificarea clientului este despre a-l face pe client să facă ceva ce poate face doar acel client; deci clientul trebuie să știe ceva care nu este public și că ‘ este cheia privată. Astfel, clientul trebuie să aibă o cheie privată împreună cu certificatul său; dacă cheia a fost generată din browserul clientului, atunci setarea așteptată este să o importați în client împreună cu certificatul. Prin urmare, un fișier .pfx.
- Am un fișier .pfx de pe serverul IIS unde este instalat certificatul meu. Acesta este fișierul .pfx care ar trebui distribuit? Deoarece CA a furnizat fișierul .cert, inclusiv cheile care au fost instalate pe server.
- @ Xsecure123 nu; există ‘ două scenarii aici – și Thomas răspundea numai pentru autentificarea clientului (în cazul în care fiecare client deține propriul certificat privat ‘ dovedesc propria identitate). – Se pare că ‘ faceți altceva – se pare că ‘ utilizați un certificat autosemnat în IIS și clienții nu ‘ nu au încredere în el. – În acest caz, ar trebui să oferiți clienților un fișier .cer de pe server. – deoarece clienții au nevoie doar de cheia publică pentru a avea încredere în server. – Dacă au și cheia privată, atunci pot identifica serverul sau pot decripta traficul ‘ și acel ‘ s nu ceva ce vrei.
- @ BrainSlugs83: Ce vrei să spui prin certificat privat. Thomas a menționat că certificatele sunt date publice. Puteți, vă rog, să elaborați?
Răspuns
Știu că acesta este un fir vechi de un an, dar pentru viitorii cititori , așa cum am menționat mai sus, nu, nu distribuiți fișierul .pfx deoarece acesta este fișierul care conține cheia privată. Puteți extrage și distribui certificatul (care este public) din fișierul .pfx prin metoda descrisă aici: https://stackoverflow.com/questions/403174/convert-pfx-to-cer
Comentarii
- Unde ar trebui să stocați în siguranță fișierul pfx pe server? Evident că nu ‘ nu doriți o altă aplicație care utilizează fișierul PFX, dar nu ‘ nu cred că ‘ aș dori să-l stochez și cu aplicația mea.Îl importați doar în managerul de certificare al mașinii și îl accesați programat?
- Gestionarea cheilor private @Matt este un subiect în sine. Unele răspunsuri relevante pot fi găsite aici și aici (acesta din urmă nu sunt strict relevante pentru fișierele PFX, dar totuși noi). Fișierul PFX în sine nu ‘ nu trebuie stocat pe serverul dvs. (de exemplu, dacă ‘ utilizați IIS7, d importați PFX; dacă nu, ‘ d extrageți cheia privată cert & din PFX în propriile fișiere).
Răspuns
Ce este diferența dintre fișierele de certificate .pfx și .cert?
Răspunsul dat de @Thomas Pornin este destul de bun.
Distribuim .pfx sau .cert pentru autentificarea clientului?
Asta depinde de procesul utilizat.
Procesul tipic de configurare a unui client extern pentru autentificare utilizând un certificat este următorul: 1) clientul generează o pereche de chei asimetrice (chei publice și private); 2) clientul generează o cerere de semnare a certificatului pentru cheia publică și o trimite către server; 3) serverul semnează cheia publică și returnează această semnătură (certificatul ” „) către client; 4) clientul stochează cheia privată împreună cu acest certificat în magazinul de chei. Acum, când clientul se conectează la server, certificatul este prezentat și clientul este autentificat.
În scenariul de mai sus, un ” .cert este trimis înapoi clientului.
Pe plan intern, multe organizații vor efectua acest proces pentru angajații lor. În această situație, se întâmplă următoarele: personalul IT generează perechea de chei publice și private pentru un angajat împreună cu cererea de semnare a certificatului. Apoi semnează cheia publică (folosind autoritatea lor de certificare privată) și plasează certificatul rezultat, împreună cu cheia privată corespunzătoare și toate certificatele CA intermediare (” lanțul de certificate „), în magazia de chei a utilizatorului.
În acest scenariu, un ” .pfx ” (sau ” .pem „) ar fi adecvat deoarece ar conține toate elementele necesare pentru autentificarea clientului: cheie, certificatul și lanțul de certificate.
Căutați ” Înregistrare automată certificat ” pentru o cale pentru a automatiza acest proces pentru utilizatorii și dispozitivele dvs. de întreprindere.