Co warto wiedzieć
- Plik PEM to plik Certyfikatu Poczty Wzmocnionej Ochrony Prywatności.
- Otwórz jeden za pomocą programu lub systemu operacyjnego, który wymaga pliku (wszystkie działają trochę inaczej).
- Konwertuj na PPK, PFX lub CRT za pomocą polecenia lub specjalnego konwertera.
Ten artykuł wyjaśnia, do czego służą pliki PEM, jak je otworzyć w zależności od używanego programu lub systemu operacyjnego oraz jak przekonwertować je na inny format pliku certyfikatu.
Co to jest plik PEM?
Plik PEM to plik Privacy Enhanced Mail Certificate używany do prywatnego przesyłania wiadomości e-mail. Osoba otrzymująca tę wiadomość e-mail może być pewna, że wiadomość nie została zmieniona podczas jej przesyłania, nie została pokazana nikomu innemu i została wysłana przez osobę, która twierdzi, że ją wysłała.
pliki PEM powstały w wyniku komplikacji wysyłania danych binarnych za pośrednictwem poczty e-mail. Format PEM koduje plik binarny z base64, dzięki czemu istnieje jako ciąg ASCII.
Format PEM został zastąpiony nowszymi i bezpieczniejszymi technologiami, ale kontener PEM jest nadal używany do przechowywania plików urzędu certyfikacji, kluczy publicznych i prywatnych, certyfikatów głównych itp.
Niektóre pliki w formacie PEM mogą zamiast tego używać innego rozszerzenia pliku, takiego jak CER lub CRT dla certyfikatów lub KEY dla kluczy publicznych lub prywatnych.
Jak otworzyć pliki PEM
Kroki otwierania pliku PEM różnią się w zależności od aplikacji, która tego potrzebuje i używanego systemu operacyjnego. Jednak może być konieczne przekonwertowanie pliku PEM na CER lub CRT, aby niektóre z tych programów zaakceptowały plik.
Windows
Jeśli potrzebujesz pliku CER lub CRT w kliencie poczty Microsoft, takim jak Outlook, otwórz go w przeglądarce Internet Explorer, aby automatycznie załadować go do odpowiedniej bazy danych. Klient poczty e-mail może automatycznie z niego korzystać.
Microsoft nie obsługuje już przeglądarki Internet Explorer i zaleca aktualizację do nowszej przeglądarki Edge. Wejdź na ich stronę, aby pobrać najnowszą wersję.
Aby zobaczyć, które pliki certyfikatów są załadowane na komputer i zaimportować je ręcznie, użyj menu Narzędzia programu Internet Explorer, aby uzyskać dostęp do Opcje internetowe> Treść > Certyfikaty, jak to:
Aby zaimportować plik CER lub CRT do systemu Windows, zacznij od otwarcia konsoli Microsoft Management Console z okna dialogowego Uruchom (użyj skrótu klawiaturowego Windows Key + R, aby wprowadzićmmc ). Stamtąd przejdź do Plik > Dodaj/usuń przystawkę… i wybierz Certyfikaty z lewej kolumny, a następnie Dodaj przycisk > na środku okna.
Wybierz Konto komputera na następnym ekranie, a następnie przejdź przez kreatora, wybierając Komputer lokalny, gdy zostaniesz o to poproszony. Po załadowaniu „Certyfikatów” w „Konsoli Root” rozwiń folder i kliknij prawym przyciskiem myszy Zaufane główne urzędy certyfikacji i wybierz Wszystkie zadania > Import
macOS
Ta sama koncepcja dotyczy klienta poczty e-mail Maca, jak i klienta Windows: użyj przeglądarki Safari, aby zaimportować plik PEM do programu Dostęp do pęku kluczy.
Możesz również zaimportować certyfikaty SSL za pomocą menu File > Importuj elementy w Dostęp do pęku kluczy. Wybierz System z menu rozwijanego, a następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
Jeśli te metody nie działają w przypadku importowania pliku PEM do systemu macOS, możesz spróbować następującego polecenia (zmień „yourfile.pem” na nazwę i lokalizację konkretnego pliku PEM):
import bezpieczeństwa yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Użyj tego polecenia keytool, aby wyświetlić zawartość pliku PEM w systemie Linux:
keytool -printcert -file yourfile.pem
Wykonaj następujące kroki, jeśli chcesz zaimportować plik CRT do repozytorium zaufanych urzędów certyfikacji Linux (patrz metoda konwersji PEM na CRT w następnej sekcji poniżej, jeśli zamiast tego masz plik PEM):
- Przejdź do /usr/share/ca-certificates/.
- Utwórz tam folder (na przykład sudo mkdir /usr/share/ca-certificates/work).
- Skopiuj plik. CRT do nowo utworzonego folderu. Jeśli wolisz nie robić tego ręcznie, możesz zamiast tego użyć tego polecenia: sudo cp twójplik.crt /usr/share/ca-certificates/work/yourfile.crt.
- Upewnij się, że uprawnienia są ustawione poprawnie (755 dla folderu i 644 dla pliku).
Uruchom polecenie sudo update-ca-certificates.
Firefox i Thunderbird
Jeśli plik PEM wymaga zaimportowania do klienta poczty e-mail Mozilli, takiego jak Thunderbird, może być konieczne wyeksportowanie pliku PEM z Firefoksa. Otwórz menu Firefox i wybierz Options Przejdź do Prywatność i bezpieczeństwo i znajdź sekcję Bezpieczeństwo, a następnie użyj przycisku Wyświetl certyfikaty…, aby otworzyć listę, z której możesz wybrać ten, który chcesz wyeksportować. Użyj opcji Kopia zapasowa…, aby ją zapisać.
Następnie w Thunderbirdzie otwórz menu i kliknij lub naciśnij Opcje Przejdź do Zaawansowane > Certyfikaty> Zarządzaj certyfikatami > Twoje certyfikaty > Importuj Z sekcji „Nazwa pliku:” w oknie Importuj, wybierz Pliki certyfikatów z listy rozwijanej, a następnie znajdź i otwórz plik PEM.
Aby zaimportować plik PEM do Firefoksa, po prostu wykonaj te same kroki, które chcesz wyeksportować, ale wybierz Import zamiast przycisku Kopia zapasowa…. Jeśli nie możesz znaleźć pliku PEM, upewnij się, że obszar „Nazwa pliku” w oknie dialogowym jest ustawiony na Pliki certyfikatów, a nie na Pliki PKCS12
Java KeyStore
Stack Overflow zawiera wątek dotyczący importowania pliku PEM do Java KeyStore (JKS), jeśli zajdzie taka potrzeba. Inną opcją, która może zadziałać, jest użycie tego narzędzia keyutil.
Jak przekonwertować plik PEM
W przeciwieństwie do większości formatów plików, które można przekonwertować za pomocą narzędzia do konwersji plików lub witryny internetowej, musisz wprowadzić specjalne polecenia dla określonego programu, aby przekonwertować format pliku PEM na większość innych formatów.
Konwertuj PEM na PPK za pomocą PuTTYGen. Wybierz Load z prawej strony programu, ustaw typ pliku na dowolny plik (.), a następnie wyszukaj i otwórz plik PEM. Wybierz Zapisz klucz prywatny, aby utworzyć plik PPK.
Dzięki OpenSSL (pobierz wersję dla systemu Windows tutaj) możesz przekonwertować plik PEM na PFX za pomocą następującego polecenia:
openssl pkcs12 -inkey twójplik.pem -in twójplik.cert -export -out twójplik.pfx
Jeśli masz plik PEM, który musi zostać przekonwertowany na CRT, tak jak w przypadku Ubuntu, użyj tego polecenia z OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
OpenSSL obsługuje również konwersję. PEM do. P12 (PKCS12 lub Public Key Cryptography Standard 12), ale przed uruchomieniem tego polecenia dołącz rozszerzenie pliku „. TXT”:
openssl pkcs12 -export -inkey twójplik.pem.txt -in twójplik.pem.txt -out twójplik.p12
Zobacz link Stack Overflow powyżej dotyczący używania pliku PEM z Java KeyStore, jeśli chcesz przekonwertować plik na JKS, lub ten samouczek firmy Oracle, aby zaimportować plik do Java Truststore.
Więcej informacji na temat PEM
Funkcja integralności danych w formacie Privacy Enhanced Mail Certificate wykorzystuje skróty wiadomości RSA-MD2 i RSA-MD5 w celu porównania wiadomości przed i po jej wysłaniu, aby upewnić się, że nie została naruszona po drodze.
Na początku pliku PEM znajduje się nagłówek, który brzmi -----BEGIN [etykieta]-----, a koniec danych to podobna stopka: ----- END [etykieta] -----. Sekcja „[label]” opisuje wiadomość, więc może brzmieć KLUCZ PRYWATNY, WNIOSEK O CERTYFIKAT lub CERTYFIKAT.
Oto przykład:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Jeden plik PEM może zawierać wiele certyfikatów, w którym to przypadku sekcje "END" i "BEGIN" sąsiadują ze sobą.
Nadal nie możesz otworzyć pliku?
Jednym z powodów, dla których Twój plik nie otwiera się w żaden z opisanych powyżej sposobów, jest to, że nie masz do czynienia z plikiem PEM. Zamiast tego możesz mieć plik, który po prostu używa podobnie napisanego rozszerzenia pliku. W takim przypadku nie ma potrzeby, aby te dwa pliki były ze sobą powiązane lub aby działały z tym samym oprogramowaniem.
Na przykład PEF wygląda bardzo podobnie do PEM, ale zamiast tego należy do formatu plików Pentax Raw Image lub Portable Embosser Format. Kliknij ten link, aby zobaczyć, jak otwierać lub konwertować pliki PEF, jeśli tak naprawdę masz.
To samo można powiedzieć o wielu innych rozszerzeniach plików, takich jak EPM, EMP, EPP, PES, PET… masz pomysł. Po prostu dwukrotnie sprawdź rozszerzenie pliku, aby zobaczyć, że faktycznie czyta ".pem", zanim uznasz, że powyższe metody nie działają.
Jeśli masz do czynienia z plikiem KEY, pamiętaj, że nie wszystkie pliki kończące się na. KEY należą do formatu opisanego na tej stronie. Zamiast tego mogą to być pliki klucza licencji oprogramowania używane podczas rejestrowania programów, takich jak LightWave lub pliki prezentacji Keynote utworzone przez Apple Keynote.
FAQ
Jak utworzyć plik PEM?
Pierwszym krokiem do utworzenia pliku PEM jest pobranie certyfikatów, które wysłał Ci Twój urząd certyfikacji. Obejmuje to certyfikat pośredni, certyfikat główny, certyfikat główny i pliki klucza prywatnego.
Następnie otwórz edytor tekstu, taki jak WordPad lub Notatnik, i wklej treść każdego certyfikatu do nowego pliku tekstowego. Powinny być w następującej kolejności: klucz prywatny, certyfikat główny, certyfikat pośredni, certyfikat główny. Dodaj znaczniki początkowe i końcowe. Będą wyglądać tak:
Na koniec zapisz plik jako twoja_domena.pem.
Czy plik PEM to to samo co plik CRT?
Nie. Pliki PEM i CRT są powiązane; oba typy plików reprezentują różne aspekty procesu generowania i weryfikacji klucza. Pliki PEM to kontenery przeznaczone do weryfikowania i odszyfrowywania danych wysyłanych przez serwer. Plik CRT (co oznacza certyfikat) reprezentuje żądanie podpisania certyfikatu. Pliki CRT to sposób na zweryfikowanie własności bez dostępu do klucza prywatnego. Pliki CRT zawierają klucz publiczny wraz z wieloma innymi informacjami.
