පෙම් ගොනුවක් යනු කුමක්ද සහ එය වෙනත් OpenSSL ජනනය කළ යතුරු ගොනු ආකෘති වලට වඩා වෙනස් වන්නේ කෙසේද?

1435

ඩේබියන් සේවාදායක දෙකක් නඩත්තු කිරීම මගේ වගකීමයි. ආරක්ෂක සහතික සමඟ මට යමක් කිරීමට සිදුවන සෑම අවස්ථාවකම, මම නිබන්ධන සඳහා ගූගල් කර එය ක්‍රියාත්මක වන තෙක් පරාජය කරමි.

කෙසේ වෙතත්, මගේ සෙවුම් මම බොහෝ විට වෙනස් ගොනු ආකෘති හරහා (පැමිණ .key, .csr, .pem) ඒත්, මම එක් එක් ගොනු ආකෘතිය අරමුණ කුමක්ද හොඳ පැහැදිලි කිරීමක් සොයා ගැනීමට හැකි වී කිසි දෙයක් කියලා නැහැ.

සර්වර්ෆෝල්ට් හි සිටින හොඳ පුද්ගලයින්ට මේ සම්බන්ධයෙන් යම් පැහැදිලි කිරීමක් ලබා දිය හැකිදැයි මම කල්පනා කළෙමි.

certificate  pki 
නෝවා ගුඩ්රිච්
source
2
ඇන්ඩෲ

Answers:

1768

බහාලුම් ආකෘති සඳහා එකඟ වනු ඇතැයි ඔබ සිතන තරම් කාලයක් SSL සිට ඇත. ඔයා හරි, තියෙනවා. එය සිදු වන විට බොහෝ ප්‍රමිතීන්. ඉතින් මම දන්නා දෙය මෙයයි, මට විශ්වාසයි අනෙක් අය එයට බාධා කරනු ඇත.

  • .csr - මෙය සහතික අත්සන් කිරීමේ ඉල්ලීමකි. සමහර යෙදුම්වලට සහතික-බලධාරීන්ට ඉදිරිපත් කිරීම සඳහා මේවා ජනනය කළ හැකිය. සත්‍ය ආකෘතිය PKCS10 වන අතර එය RFC 2986 හි අර්ථ දක්වා ඇත . ඉල්ලුම් කරන ලද සහතිකයේ විෂය, සංවිධානය, රාජ්‍යය, වොට්නොට් වැනි වැදගත් තොරතුරු සමහරක් මෙන්ම අත්සන් කිරීමට සහතිකයේ පොදු යතුර ද එයට ඇතුළත් ය. මේවා වරලත් ගණකාධිකාරී විසින් අත්සන් කර සහතිකයක් ආපසු ලබා දෙනු ලැබේ. ආපසු ලබා දුන් සහතිකය යනු පොදු සහතිකයයි (එයට පොදු යතුර ඇතුළත් නමුත් පුද්ගලික යතුර නොවේ), එය ආකෘති කිහිපයකින් විය හැකිය.
  • .pem - RFCs 1421 සිට 1424 දක්වා අර්ථ දක්වා ඇති මෙය බහාලුම් ආකෘතියකි, එය පොදු සහතිකය (අපාචේ ස්ථාපනයන් සහ CA සහතික ලිපිගොනු වැනි /etc/ssl/certs) ඇතුළත් විය හැකිය, නැතහොත් පොදු යතුර, පුද්ගලික යතුර සහ සම්පූර්ණ සහතික දාමයක් ඇතුළත් විය හැකිය. මූල සහතික. ව්‍යාකූල ලෙස, එය PKCS10 ආකෘතිය PEM බවට පරිවර්තනය කළ හැකි බැවින් එය CSR (උදා: මෙහි භාවිතා වන පරිදි ) සංකේතවත් කළ හැකිය. නම පුද්ගලිකත්ව වැඩිදියුණු කළ තැපෑලෙන් (PEM) , ආරක්ෂිත විද්‍යුත් තැපෑල සඳහා අසාර්ථක ක්‍රමයක් වන නමුත් එය භාවිතා කළ බහාලුම් ආකෘතිය ජීවමාන වන අතර එය x509 ASN.1 යතුරු වල මූලික 64 පරිවර්තනයකි.
  • .key - මෙය නිශ්චිත සහතිකයක පුද්ගලික යතුර පමණක් අඩංගු PEM ආකෘතිගත ගොනුවක් වන අතර එය හුදෙක් සාම්ප්‍රදායික නමක් මිස ප්‍රමිතිගත එකක් නොවේ. Apache ස්ථාපනයන්හි, මෙය නිතර වාසය කරයි /etc/ssl/private. මෙම ලිපිගොනු වල අයිතිවාසිකම් ඉතා වැදගත් වන අතර සමහර වැඩසටහන් වැරදි නම් මෙම සහතික පැටවීම ප්‍රතික්ෂේප කරනු ඇත.
  • .pkcs12 .pfx .p12 - මුලින් RSA විසින් පොදු යතුරු ගුප්ත ලේඛනකරණ ප්‍රමිතිවල (PKCS ලෙස කෙටියෙන්) අර්ථ දක්වා ඇති අතර , "12" ප්‍රභේදය මුලින් මයික්‍රොසොෆ්ට් විසින් වැඩි දියුණු කරන ලද අතර පසුව එය RFC 7292 ලෙස ඉදිරිපත් කරන ලදී . මෙය මුරපද සහිත බහාලුම් ආකෘතියකි, එය රාජ්‍ය සහ පෞද්ගලික සහතික යුගල අඩංගු වේ. .Pem ලිපිගොනු මෙන් නොව, මෙම බහාලුම සම්පූර්ණයෙන්ම සංකේතනය කර ඇත. Openssl හට මෙය පොදු සහ පෞද්ගලික යතුරු සහිත .pem ගොනුවක් බවට පත් කළ හැකිය:openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes

වරින් වර පෙන්වන තවත් ආකෘති කිහිපයක්:

  • .der - ද්විමය තුළ ASN.1 සින්ටැක්ස් කේතනය කිරීමේ ක්‍රමයක්, .pem ගොනුවක් යනු Base64 කේතනය කරන ලද .der ගොනුවකි. OpenSSL හට මේවා .pem ( openssl x509 -inform der -in to-convert.der -out converted.pem) බවට පරිවර්තනය කළ හැකිය . වින්ඩෝස් මේවා සහතික ලිපිගොනු ලෙස දකී. පෙරනිමියෙන්, වින්ඩෝස් වෙනත් දිගුවක් සහිත .DER ආකෘතිගත ගොනු ලෙස සහතික අපනයනය කරයි. මෙන්...
  • .cert .cer .crt - වෙනස් දිගුවක් සහිත .pem (හෝ කලාතුරකින් .der) ආකෘතිගත කරන ලද ගොනුවක්, වින්ඩෝස් එක්ස්ප්ලෝරර් විසින් සහතිකයක් ලෙස හඳුනාගෙන ඇති අතර එය .pem නොවේ.
  • .p7b .keystore - RFC 2315 හි PKCS අංක 7 ලෙස අර්ථ දක්වා ඇති මෙය වින්ඩෝස් විසින් සහතික හුවමාරුව සඳහා භාවිතා කරන ආකෘතියකි. ජාවා මේවා දේශීයව වටහාගෙන ඇති අතර බොහෝ විට .keystoreඒ වෙනුවට දිගුවක් ලෙස භාවිතා කරයි . .Pem විලාසිතාවේ සහතික මෙන් නොව, මෙම ආකෘතියට සහතික කිරීමේ-මාර්ග සහතික ඇතුළත් කිරීමට නිශ්චිත ක්‍රමයක් ඇත.
  • .crl - සහතික අවලංගු කිරීමේ ලැයිස්තුවක්. සහතික බලධාරීන් කල් ඉකුත්වීමට පෙර සහතික අහෝසි කිරීමේ ක්‍රමයක් ලෙස මේවා නිෂ්පාදනය කරයි. ඔබට සමහර විට CA වෙබ් අඩවි වලින් ඒවා බාගත කළ හැකිය.

සාරාංශයක් ලෙස, සහතික සහ ඒවායේ සංරචක ඉදිරිපත් කිරීමට විවිධ ක්‍රම හතරක් ඇත:

  • PEM - විවෘත මූලාශ්‍ර මෘදුකාංග මගින් මනාප ලෙස භාවිතා කරන RFCs විසින් පාලනය කරනු ලැබේ. එයට විවිධ දිගුවන් තිබිය හැකිය (.pem, .key, .cer, .cert, more)
  • PKCS7 - ජාවා විසින් භාවිතා කරන විවෘත ප්‍රමිතියක් සහ වින්ඩෝස් සහාය දක්වයි. පුද්ගලික යතුරු ද්‍රව්‍ය අඩංගු නොවේ.
  • PKCS12 - මයික්‍රොසොෆ්ට් පුද්ගලික ප්‍රමිතිය පසුව RFC හි නිර්වචනය කරන ලද අතර එය සරල පෙළ PEM ආකෘතියට එරෙහිව වැඩි ආරක්ෂාවක් සපයයි. මෙහි පුද්ගලික යතුරු ද්‍රව්‍ය අඩංගු විය හැකිය. එය වින්ඩෝස් පද්ධති විසින් මනාප ලෙස භාවිතා කරන අතර opensl භාවිතා කිරීමෙන් PEM ආකෘතියට නිදහසේ පරිවර්තනය කළ හැකිය.
  • DER - PEM හි මව් ආකෘතිය. එය base64- කේතනය කරන ලද PEM ගොනුවේ ද්විමය අනුවාදයක් ලෙස සිතීම ප්‍රයෝජනවත් වේ. වින්ඩෝස් වලින් පිටත බොහෝ විට භාවිතා නොවේ.

මම හිතනවා මේක උදව් වෙයි කියලා.

sysadmin1138
source
322
ප්‍රමිතිවල ඇති විශිෂ්ටතම දෙය නම් තෝරා ගැනීමට බොහෝ දේ
තිබීමයි
40
.crt යනු .cert සහ .cer සඳහා තවත් පොදු දිගුවකි
ඩේවිඩ් පැෂ්ලි
46
PEM යනු සහතිකයක් (පොදු යතුරක්), පුද්ගලික යතුරක් හෝ සැබවින්ම එකට එකතු වී ඇති ගොනු ආකෘතියකි. ගොනු දිගුව කෙරෙහි එතරම් අවධානය යොමු නොකරන්න; එහි තේරුම රහස්‍යතා වැඩිදියුණු කළ තැපෑලයි, එය එතරම් ප්‍රයෝජනයක් නොදැක්වූ නමුත් ගොනු ආකෘතිය වටා සිරවී ඇත.
ඩෑන් කාර්ලි
23
ඉතා ප්‍රයෝජනවත් පිළිතුරක්, නමුත් ඔබ විසින් නිර්මාණය කරන ලද .pub ආකෘතිය ඔබ ආවරණය කර ඇතැයි මම නොසිතමි ssh-keygen. එය අනෙක් අය සමඟ සම්බන්ධ වන්නේ කෙසේදැයි දැන ගැනීම ප්‍රයෝජනවත් වනු ඇත.
ජෙස්
28
"රහස්‍යතා වැඩිදියුණු කළ විද්‍යුත් තැපෑල" නොසලකා හැරීමට උදව් කළ නොහැකි අතර "PEM" යන්නට වඩා "PEE" යන අක්ෂර ලබා දෙනු ඇත. RFCs "රහස්‍යතා වැඩිදියුණු කළ තැපෑල" යන වාක්‍ය ඛණ්ඩය භාවිතා කිරීමට නැඹුරු වේ
ආධාර
150

PEM එය තනිවම සහතිකයක් නොවේ, එය දත්ත කේතනය කිරීමේ ක්‍රමයක් පමණි. X.509 සහතික යනු PEM භාවිතයෙන් පොදුවේ කේතනය කර ඇති එක් දත්ත වර්ගයකි.

PEM යනු X.509 සහතිකයකි (එහි ව්‍යුහය ASN.1 භාවිතයෙන් අර්ථ දක්වා ඇත), ASN.1 DER (විශේෂිත කේතීකරණ නීති) භාවිතා කර කේතනය කර, පසුව Base64 කේතීකරණය හරහා ධාවනය කර සරල පෙළ නැංගුරම් රේඛා අතර සිරවී ඇත (BEGIN CERTIFICATE සහ END CERTIFICATE ).

ඔබට PKCS # 7 හෝ PKCS # 12 නිරූපණයන් භාවිතා කරමින් එකම දත්ත නිරූපණය කළ හැකි අතර මෙය සිදු කිරීම සඳහා openssl විධාන රේඛා උපයෝගීතාව භාවිතා කළ හැකිය.

PEM හි ඇති පැහැදිලි වාසි නම්, නැංගුරම් රේඛා ඇති නිසාත්, බිටු 7 ක් පිරිසිදු නිසාත්, විද්‍යුත් තැපැල් පණිවිඩයක සිරුරට ඇලවීම ආරක්ෂිත ය.

RFC1422 යතුරු සහ සහතික වලට අදාළව PEM ප්‍රමිතිය පිළිබඳ වැඩි විස්තර ඇත.

ජේම්ස් එෆ්
source
1
“Opensl විධාන රේඛාව භාවිතා කරමින්” ඔබ මෙය කරන්නේ කෙසේද?
සමික් ​​ආර්
4
DER ගොනුවක් (.crt .cer .der) PEM බවට පරිවර්තනය කිරීම සඳහා : openssl x509 -inform der -in cert.cer -out cert.pem. PEM ගොනුවක් DER බවට පරිවර්තනය කිරීම සඳහා : openssl x509 -outform der -in cert.pem -out certi.der. පුද්ගලික යතුරක් සහ සහතිකයක් සහිත PKCS # 12 ගොනුවක් (.pfx .p12) PEM බවට පරිවර්තනය කිරීම : openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes. : A පෙම් සහතිකය ගොනු හා PKCS # 12 දක්වා පෞද්ගලික යතුර (.pfx .p12) බවට පරිවර්තනය කිරීමට openssl pkcs12 -export -out cert.pfx -inkey privateKey.key -in cert.crt -certfile CACert.crtපටන් මෙහි
mpeac
57

සමහර විට .crtගොනුවක් දැනටමත් a .pem. බලන්න: /programming/991758/openssl-pem-key

mgold
source
4
ඇත්ත වශයෙන්ම ඇත්ත, මම අද මෙය දුටුවෙමි. මට රාක්ස්පේස් ලෝඩ්බාලන්සර් හි PEM සහතිකයක් ඇතුළත් කිරීමට සිදු වූ අතර ජනනය කරන ලද crt එම ආකෘතියේ තිබේදැයි මම කල්පනා කළෙමි. නමුත් එය එලෙසම ක්‍රියාත්මක විය, එබැවින් එය මගේ නිගමනය ද විය .මෙයින් බොහෝමයක් .crt පැමිණ ඇත්තේ PEM ආකෘතියෙන් බව පෙනේ.
ග්ලෙන් ප්ලාස්
1
Len ග්ලෙන් ප්ලාස් අවධානය යොමු කරන්නේ ගොනුවේ අන්තර්ගතය වෙනුවට එහි නම හෝ දිගුව නොවේ. එය .foobarසියලු කාරණා සඳහා කැඳවිය හැකිය ...
පැට්‍රික් මෙව්සෙක්
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.