Mida teada
- PEM-fail on privaatsusega täiustatud meilisertifikaadi fail.
- Avage üks programmi või operatsioonisüsteemiga, mis faili nõuab (need kõik töötavad veidi erinev alt).
- Konverteerige käsu või spetsiaalse konverteri abil PPK-ks, PFX-iks või CRT-ks.
Selles artiklis selgitatakse, milleks PEM-faile kasutatakse, kuidas neid olenev alt kasutatavast programmist või operatsioonisüsteemist avada ja kuidas seda teise sertifikaadi failivormingusse teisendada.
Mis on PEM-fail?
PEM-fail on privaatsusega täiustatud meilisertifikaadi fail, mida kasutatakse meilide privaatseks edastamiseks. Selle meili saanud inimene võib olla kindel, et sõnumit selle edastamise ajal ei muudetud, seda ei näidatud kellelegi teisele ja selle saatis isik, kes väidab, et saatis selle.
PEM-failid tekkisid binaarandmete e-posti teel saatmise keerukusest. PEM-vorming kodeerib binaarselt base64-ga, nii et see eksisteerib ASCII-stringina.
PEM-vorming on asendatud uuemate ja turvalisemate tehnoloogiatega, kuid PEM-konteinerit kasutatakse tänapäevalgi sertifitseerimisasutuste failide, avalike ja privaatvõtmete, juursertifikaatide jms hoidmiseks.
Mõned PEM-vormingus failid võivad kasutada hoopis teist faililaiendit, näiteks sertifikaatide jaoks CER või CRT või avalike või privaatvõtmete jaoks KEY.
PEM-failide avamine
PEM-faili avamise sammud erinevad olenev alt seda vajavast rakendusest ja kasutatavast operatsioonisüsteemist. Siiski peate võib-olla teisendama oma PEM-faili CER- või CRT-vormingusse, et mõned neist programmidest faili aktsepteeriksid.
Windows
Kui vajate CER- või CRT-faili Microsofti meilikliendis (nt Outlook), avage see Internet Exploreris, et see laaditaks automaatselt õigesse andmebaasi. Meiliklient saab seda se alt automaatselt kasutada.
Microsoft ei toeta enam Internet Explorerit ja soovitab värskendada uuemale Edge'i brauserile. Uusima versiooni allalaadimiseks minge nende saidile.
Arvutisse laaditud sertifikaadifailide vaatamiseks ja nende käsitsi importimiseks kasutage Internet Exploreri menüüd Tools, et pääseda juurde Interneti-suvandid> Sisu > Sertifikaadid, nagu see:
CER- või CRT-faili importimiseks Windowsi alustage Microsofti halduskonsooli avamisega dialoogiboksis Käivita (kasutage sisestamiseks Windowsi klahvi + R klaviatuuri otseteed mmc). Se alt avage Fail > Lisa/eemalda lisandmoodul… ja valige vasakpoolsest veerust Sertifikaadid ja seejärel Lisage akna keskele nupp >.
Valige järgmisel ekraanil Arvutikonto ja liikuge seejärel viisardis, valides küsimisel Kohalik arvuti. Kui "Sertifikaadid" on jaotises "Console Root" laaditud, laiendage kausta ja paremklõpsake Trusted Root Certification Authorities ja valige All Tasks > Import
macOS
Sama kontseptsioon kehtib teie Maci e-posti kliendi kohta, mis Windowsi puhul: kasutage PEM-faili võtmehoidjasse impordimiseks Safarit.
Saate importida SSL-sertifikaate ka võtmehoidja juurdepääsu menüü File > Impordi üksused kaudu. Valige rippmenüüst System ja järgige seejärel ekraanil kuvatavaid juhiseid.
Kui need meetodid PEM-faili macOS-i importimisel ei tööta, võite proovida järgmist käsku (muutke "yourfile.pem" oma konkreetse PEM-faili nimeks ja asukohaks):
turvalisuse importimine yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Kasutage seda klahvitööriista käsku, et vaadata Linuxis PEM-faili sisu:
keytool -printcert -fail yourfile.pem
Järgige neid samme, kui soovite importida CRT-faili Linuxi usaldusväärsesse sertifitseerimisasutuse hoidlasse (kui teil on selle asemel PEM-fail, vaadake PEM-i CRT-ks teisendusmeetodit järgmises jaotises):
- Navigeerige /usr/share/ca-certificates/.
- Looge sinna kaust (näiteks sudo mkdir /usr/share/ca-certificates/work).
- Kopeerige. CRT-fail sellesse vastloodud kausta. Kui te ei soovi seda käsitsi teha, võite selle asemel kasutada seda käsku: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Veenduge, et load on õigesti määratud (755 kausta ja 644 faili jaoks).
- Käivita käsk sudo update-ca-certificates.
Firefox ja Thunderbird
Kui PEM-fail tuleb importida Mozilla meiliklienti, nagu Thunderbird, peate võib-olla esm alt PEM-faili Firefoxist välja eksportima. Avage Firefoxi menüü ja valige Options Minge Privacy & Security ja leidke jaotis Security ja seejärel kasutage nuppu View Certificates…, et avada loend, kust saate valida eksporditava sertifikaadi. Kasutage selle salvestamiseks valikut Backup….
Seejärel avage Thunderbirdis menüü ja klõpsake või puudutage valikut Options Liikuge jaotisse Advanced > Sertifikaadid> Sertifikaatide haldamine > Teie sertifikaadid > Import jaotisest "Faili nimi" importimise aknas valige rippmenüüst Certificate Files ning seejärel leidke ja avage PEM-fail.
PEM-faili importimiseks Firefoxi järgige samu samme, mida teeksite faili eksportimisel, kuid valige nupu Varundamine… asemel Import. Kui te ei leia PEM-faili, veenduge, et dialoogiboksi ala "Failinimi" oleks seatud väärtusele Certificate Files ja mitte PKCS12 Files
Java KeyStore
Stack Overflow pakub teemat PEM-faili importimise kohta Java KeyStore'i (JKS), kui teil on vaja seda teha. Teine võimalus, mis võib toimida, on kasutada seda keyutili tööriista.
Kuidas teisendada PEM-faili
Erinev alt enamikust failivormingutest, mida saab teisendada faili teisendamise tööriista või veebisaidiga, peate PEM-failivormingu teisendamiseks enamikesse teistesse vormingutesse sisestama konkreetse programmi jaoks spetsiaalsed käsud.
Teisendage PEM-i PPK-ks PuTTYGeni abil. Valige programmi paremast servast Load, määrake failitüübiks mis tahes fail (.) ning seejärel otsige oma PEM-faili ja avage see. PPK-faili loomiseks valige Salvesta privaatvõti.
OpenSSL-iga (hankige Windowsi versioon siit) saate teisendada PEM-faili PFX-iks järgmise käsuga:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Kui teil on PEM-fail, mis tuleb teisendada CRT-vormingusse, nagu Ubuntu puhul, kasutage OpenSSL-iga seda käsku:
openssl x509 -in yourfile.pem -teavitage PEM -out yourfile.crt
OpenSSL toetab ka. PEM-i teisendamist. P12-ks (PKCS12 ehk avaliku võtme krüptograafiastandard nr 12), kuid lisage faili lõppu faililaiend ". TXT" enne järgmise käsu käivitamist:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Vaadake ül altoodud linki Stack Overflow PEM-faili kasutamise kohta Java KeyStore'iga, kui soovite faili JKS-iks teisendada, või seda Oracle'i õpetust, et importida fail Java usaldussalve.
Lisateave PEM-i kohta
Privaatsusega täiustatud meilisertifikaadi vormingu andmete terviklikkuse funktsioon kasutab RSA-MD2 ja RSA-MD5 sõnumite kokkuvõtteid, et võrrelda sõnumit enne ja pärast selle saatmist, tagamaks, et seda ei ole teel rikutud.
PEM-faili alguses on päis, mis loeb -----BEGIN [silt]-----, ja andmete lõpus on sarnane jalus, nagu see: ----- LÕPP [silt] -----. Jaotis "[silt]" kirjeldab sõnumit, nii et see võib olla kirjas ERAVÕTI, SERTIFIKAADI TAOTLUS või SERTIFIKAAT.
Siin on näide:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Üks PEM-fail võib sisaldada mitut sertifikaati, sel juhul on jaotised "END" ja "BEGIN" üksteise kõrval.
Ei saa ikka faili avada?
Üks põhjus, miks teie fail ühelgi ülalkirjeldatud viisil ei avane, on see, et te ei tegele tegelikult PEM-failiga. Selle asemel võib teil olla fail, mis kasutab sarnaselt kirjutatud faililaiendit. Kui see nii on, ei pea need kaks faili omavahel seotud olema ega töötama samade tarkvaraprogrammidega.
Näiteks PEF näeb kohutav alt välja nagu PEM, kuid kuulub selle asemel kas Pentax Raw Image failivormingusse või Portable Embosser Formatisse. Järgige seda linki, et näha, kuidas PEF-faile avada või teisendada, kui see teil tõesti on.
Sama võib öelda ka paljude teiste faililaiendite kohta, nagu EPM, EMP, EPP, PES, PET… saate aru. Enne kui arvate, et ül altoodud meetodid ei tööta, kontrollige lihts alt faililaiendit, et näha, kas see loeb tegelikult ".pem".
Kui teil on tegemist KEY-failiga, pidage meeles, et mitte kõik failid, mis lõppevad. KEY-ga, ei kuulu sellel lehel kirjeldatud vormingusse. Need võivad selle asemel olla tarkvara litsentsivõtme failid, mida kasutatakse tarkvaraprogrammide (nt LightWave) registreerimisel, või Apple Keynote'i loodud Keynote'i esitlusfailid.
KKK
Kuidas PEM-faili luua?
Esimene samm PEM-faili loomise suunas on teie sertifitseerimisasutuse saadetud sertifikaatide allalaadimine. See hõlmab vahesertifikaati, juursertifikaati, esmast sertifikaati ja privaatvõtme faile.
Järgmisena avage tekstiredaktor, näiteks WordPad või Notepad, ja kleepige iga sertifikaadi sisu uude tekstifaili. Need peaksid olema järgmises järjekorras: privaatvõti, esmane sertifikaat, vahepealne sertifikaat, juursertifikaat. Lisage algus- ja lõpusildid. Need näevad välja sellised:
Lõpuks salvestage fail nimega your_domain.pem.
Kas PEM-fail on sama mis CRT-fail?
Ei. PEM- ja CRT-failid on seotud; mõlemad failitüübid esindavad võtme genereerimise ja kinnitamise protsessi erinevaid aspekte. PEM-failid on konteinerid, mis on mõeldud serveri saadetavate andmete kontrollimiseks ja dekrüpteerimiseks. CRT-fail (mis tähistab sertifikaati) tähistab sertifikaadi allkirjastamise taotlust. CRT-failid on viis omandiõiguse kinnitamiseks ilma privaatvõtmele juurdepääsuta. CRT-failid sisaldavad avalikku võtit ja palju muud teavet.
