SSL‑certifikatformat

I samband med SSL‑certifikat möter man format som PEM, CSR, KEY, DER m.fl. Här förklaras vad de betyder och när de används.

CSR (.csr)

En Certificate Signing Request (CSR) är en certifikatförfrågan som skickas till en certifieringsmyndighet för att begära ett certifikat. Förfrågan kan genereras direkt på servern, i OpenSSL‑programmet eller så kan du enkelt generera den i orderdetaljen enligt denna manual, inklusive den privata nyckeln, efter beställning av SSL‑certifikatet. CSR‑formatet följer PKCS # 10 (Public Key Cryptography Standards) och definieras i RFC 2986 (Certification Request Syntax Specification). CSR‑ansökan innehåller den nödvändiga informationen för att utfärda certifikatet, det vill säga domännamn, organisation, stat och även den offentliga nyckeln som certifieringsmyndigheten bekräftar. Kodningsformatet för CSR:n som sätts in i beställningen och skickas till certifieringsmyndigheten är PEM. Informationsstrukturen i förfrågan definieras med ASN.1 (abstract syntax notation).
När certifikatet har utfärdats och signerats av certifieringsmyndigheten levereras certifikatet vanligtvis från myndigheten i andra format, såsom CRT, p7b. Det skickas ofta också direkt via e-post i txt PEM-format, tillsammans med information om utfärdandet av SSL‑certifikatet.

Vi rekommenderar inte att du skapar en certifikatförfrågan och privat nyckel på okända webbplatser.
I vår hjälp publicerar vi instruktioner om hur du genererar en CSR och privat nyckel i OpenSSL.

PEM (.pem)

PEM är ett textbaserat, base64‑kodad behållarformat med rubriker -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----. Det kan innehålla certifikat, mellanliggande CA‑certifikat och/eller privat nyckel.

Exempel på ett utfärdat certifikat i PEM-format

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Du kan avkoda denna textsträng, till exempel på denna sida, där du kan hitta information om certifikatet (giltighet, information i certifikatet, myndighet och mycket mer).

PEM‑filer är kodade i Base64-format, vilket är en kodning som konverterar binär data till en sekvens av utskrivbara ASCII-tecken (ett 64-elementars teckenset bestående av versaler och gemener i det engelska alfabetet, siffror samt plustecken ('+') och snedstreck ('/')). PEM‑filer är mycket lätta att arbeta med, eftersom de har innehåll i ett läsbart textformat och kan öppnas i vilken redigerare som helst. De enskilda certifikaten är tydligt åtskilda av en rubrik och en fot. Mer om PEM-formatet i WIKI ...

PFX / PKCS#12 (.pfx/.p12)

PFX är ett krypterat behållarformat som kan innehålla både privat nyckel och certifikat, vanligt vid Windows/IIS‑import.

Vi stöter främst på PFX-formatet på Windows-plattformen. Om certifikatförfrågan inte genereras direkt i Internet Information System (IIS) är det nödvändigt att tillhandahålla serveradministratören ett certifikat i PFX-format för import till servern. För dessa fall publicerar vi i hjälpen instruktioner om hur man exporterar certifikatet till PFX med hjälp av OpenSSL.
Kodsigneringscertifikat och elektroniska signaturer exporteras också till .p12 / .pfx‑filen.

.pfx och .p12‑filerna är de facto identiska, och om du behöver p12‑filen istället för pfx kan du läsa att du bara behöver byta namn på den. Det fungerar inte alltid så enkelt. Du kan läsa mer i diskussionen på stackoverflow.com.

KEY (.key)

.key‑filen innehåller certifikatet i PEM-format och innehåller endast certifikatets privata nyckel. Den privata nyckeln är innesluten i strängarna ----- BEGIN PRIVATE KEY ----- och ----- END PRIVATE KEY -----. Denna fil bör kunna öppnas i valfri textredigerare.
Det finns ingen standardisering för .key-formatet och det är de facto en beteckning för filen med den privata nyckeln.

DER (.der)

DER (Distinguished Encoding Rules). En binär fil (en sträng av nollor och ettor) som innehåller den lagrade certifikatinformationen. Den innehåller ett SSL-certifikat eller hela rotkedjevägen (mellanliggande certifikat) och kan också innehålla en privat nyckel. Används i Unix-världen eller på Java-plattformar, i Windows betraktas .der-filen automatiskt som en certifikatbehållare. DER är en defekt binär version av en base64-kodad PEM-fil.

CRT (.crt)

.crt‑filen innehåller ett SSL‑certifikat i PEM-format. De kan öppnas med valfri textredigerare och certifikatet är inneslutet i ----- BEGIN CERTIFICATE ----- och ----- END CERTIFICATE ----- taggar.
I Windows, när du dubbelklickar på en fil och accepterar varningen, öppnas automatiskt ett fönster med certifikatdetaljer. Om du byter namn på .crt-filen till .txt, öppnas en textredigerare med PEM-innehåll vid dubbelklickning.

P7B (.p7b)

P7B-formatet innehåller den offentliga nyckeln och mellanliggande certifikat från certifieringsmyndigheten. Innehåller inte en privat nyckel. P7B / PKCS # 7-formatet sparas i Base64 ASCII-format och filen har en .p7b eller .p7c‑ändelse. Definieras i RFC 2315 som PKCS nummer 7. Formatet som används av Windows. Java använder .keystore. Det är möjligt att definiera en certifikathierarki för dessa behållare.

CER (.cer), CERT (.cert)

Detta är en annan .pem filändelse. Används för att ange det utfärdade certifikatet. Det lagrade certifikatet i PEM-format avgränsas av rubriken och foten ----- BEGIN CERTIFICATE ----- och ----- END CERTIFICATE -----.

Andra filtyper och format

CRL

Certificate Revocation List (CRL) - lista över återkallade certifikat. Certifieringsmyndigheter publicerar listor över återkallade certifikat i dessa listor.

RFC 7468

Den föreslagna standarden RFC 7468 (Textual Encodings of PKIX, PKCS, and CMS Structures) beskriver och standardiserar textkodningen PKI (Public-Key Infrastructure X.509), PKCS (Public-Key Cryptography Standards) och CMS (Cryptographic Message Syntax).

---

Vad händer härnäst?

• OpenSSL för Windows och Mac
• OpenSSL - nyckelgenerering, certifikatförfrågningar
• OpenSSL - kontroll av privat och offentlig nyckel
• OpenSSL - exportera certifikat till PFX