펨을 변환합니다. Pem 파일이란 무엇이며 다른 Open Generated Key 파일 형식과 어떻게 다른가요? 개인키 찾기.KEY

Windows 운영 체제를 실행하는 서버와 해당 IIS 웹 서버는 비표준 인증서 파일 형식(.pfx)을 설치해야 합니다. 당사에서 구매한 인증서 발급 후 PEM 파일(.crt, .ca-bundle)을 다운로드할 수 있으며, 이는 Windows 호스팅에 설치하기에 충분하지 않을 수 있습니다.

암호화된 .pfx 파일 하나를 가져오면 개인 키(.key), 인증서(.crt) 및 인증서 체인(.ca-bundle)을 동시에 저장합니다.

SSL 인증서 파일에서 다음 형식의 파일을 가져오는 방법을 알려드립니다. .pfx.

1. SSL 패널에서 인증서 아카이브를 다운로드합니다.

당사 웹 사이트의 클라이언트 패널에서 SSL 패널에 액세스할 수 있습니다. 내 서비스 섹션으로 이동하여 인증서 옆에 있는 세부 정보 버튼을 클릭합니다.

여기에서 인증서 아카이브 다운로드를 클릭합니다.

아카이브에는 다음이 필요합니다.

• 확장자가 .crt인 인증서 파일
• 중간 인증서(.ca-bundle) 또는 "인증서 체인"

2. 개인키 찾기.KEY

Windows 서버에서 CSR 요청을 생성할 때 함께 생성되어 서버에 저장됨 RSA 개인 키(.열쇠). 서버에서 이 파일을 찾으십시오. 이는 다음 단계에 필요합니다.

SSL 패널에서 CSR 요청이 생성된 경우 "생성된 CSR 및 키"라는 제목의 이메일로 CSR-RSA 키링을 보냈습니다. -----BEGIN RSA PRIVATE KEY- 태그로 시작하는 키를 복사합니다. -- - 컴퓨터에서(예: 메모장에서) 텍스트 문서를 만들고 키를 붙여넣고 .key 확장자로 저장합니다.

3. .CRT, .KEY 및 .CA-BUNDLE 파일 결합

이렇게 하려면 컴퓨터에 openssl.exe 프로그램을 설치합니다.

이 유틸리티를 열고 다음 명령을 입력하십시오.

pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -certfile domain.name.ca-bundle

domain.key - RSA 개인 키가 있는 파일 이름;

domain.crt - 인증서 파일 이름;

domain.ca-bundle은 인증서 체인 파일의 이름입니다.

변환에 성공하면 확인 중이라는 단어가 표시됩니다.

저는 두 대의 데비안 서버를 관리하는 일을 담당하고 있습니다. 보안 인증서로 무엇이든 해야 할 때마다 Google에서 자습서를 검색하고 제대로 작동할 때까지 반격합니다.

그러나 내 검색에서 나는 종종 다른 파일 형식(.key , .csr , .pem)을 발견하지만 각 파일의 목적이 무엇인지에 대한 좋은 설명을 찾을 수 없었습니다.

여기 ServerFault의 좋은 사람들이 이에 대한 설명을 제공할 수 있는지 궁금합니다.

답변 3개

1377

SSL은 컨테이너 형식이 합의될 것이라고 생각할 수 있을 만큼 오랫동안 사용되었습니다. 그리고 당신 말이 맞아요. 표준이 너무 많습니다. 그래서 그것이 내가 아는 것이고 다른 사람들이 부를 것이라고 확신합니다.

• .csr. 인증서 서명 요청입니다. 일부 응용 프로그램은 인증 기관에 제출하기 위해 생성할 수 있습니다. 실제 형식은 RFC 2986에 정의된 PKCS10입니다. 여기에는 구독할 인증서의 공개 키뿐만 아니라 제목, 조직, 상태 등과 같은 요청된 인증서의 주요 세부 정보 중 일부/전체가 포함됩니다. 서명된 CA를 받고 인증서가 반환됩니다. 반환된 인증서는 공개 인증서(공개 키는 포함하지만 개인 키는 포함하지 않음)이며 그 자체는 여러 형식일 수 있습니다.
• .pem. 를 통해 RFC에 정의된 이것은 공개 인증서(예: Apache 설치 및 CA 인증서 파일 /etc/ssl/certs 포함)만 포함하거나 공개 키, 개인 키 및 인증서를 포함한 전체 인증서 체인을 포함할 수 있는 컨테이너 형식입니다. 루트 인증서. 혼란스럽게도 PKCS10 형식을 PEM으로 변환할 수 있으므로 CSR(예: )을 인코딩할 수도 있습니다. PEM(Privacy Enhanced Mail)이라는 이름은 보안 이메일에 대한 안타까운 방법이지만 이것이 사용되는 컨테이너는 x509 ASN.1 키의 기본 변환입니다.
• .열쇠. 이것은 특정 인증서의 개인 키만 포함하는 PEM 파일이며 표준화된 것이 아니라 단지 규칙일 뿐입니다. Apache 설치에서 이것은 종종 /etc/ssl/private 에서 발견됩니다. 이러한 파일에 대한 권한은 매우 중요하며 일부 프로그램은 이러한 인증서가 잘못 설치된 경우 로드를 거부합니다.
• .pkcs12 .pfx .p12. 원래 PKCS(Public Key Encryption Standards)에서 RSA에 의해 정의된 옵션 "12"는 원래 Microsoft에서 확장되었으며 나중에 RFC 7292로 도입되었습니다. 공용 및 개인 인증서 쌍을 모두 포함하는 암호 기반 컨테이너 형식입니다. .pem 파일과 달리 이 컨테이너는 완전히 암호화됩니다. Openssl은 이것을 공개 및 개인 키가 있는 .pem 파일로 변환할 수 있습니다.

수시로 나타나는 몇 가지 다른 형식:

• .데르. ASN.1 구문이 바이너리 .pem 파일에서 인코딩되는 방식은 Base64 인코딩 파일일 뿐입니다. OpenSSL은 이를 .pem으로 변환할 수 있습니다(openssl x509 -inform der -in to-convert.der -out conversion.pem). Windows는 이를 인증서 파일로 취급합니다. 기본적으로 Windows는 확장자가 다른 .DER 파일로 인증서를 내보냅니다. 어떻게...
• .cert .cer .crt. Windows 탐색기에서 .pem이 아닌 인증서로 인식되는 다른 확장자를 가진 .pem(또는 드물게 .der) 파일.
>
• .p7b .키스토어. RFC 2315에서 PKCS 번호 7로 정의된 이 형식은 Windows에서 인증서를 교환하는 데 사용하는 형식입니다. Java는 이를 기본적으로 이해하고 종종 .keystore를 확장자로 사용합니다. .pem 스타일 인증서와 달리 이 형식에는 인증 경로 인증서를 포함하는 특정 방법이 있습니다.
• .crl- 인증서 해지 목록. 인증 기관은 인증서가 만료되기 전에 인증을 해제하는 방법으로 이를 표현합니다. 경우에 따라 CA 웹 사이트에서 다운로드할 수 있습니다.

따라서 인증서와 해당 구성 요소를 나타내는 네 가지 방법이 있습니다.

• PEM- RFC 기반, 주로 오픈 소스 소프트웨어에서 사용됩니다. 확장자가 많을 수 있습니다(.pem, .key, .cer, .cert 등).
• PKCS7 Java에서 사용하고 Windows에서 지원하는 개방형 표준입니다. 개인 자료를 포함하지 않습니다.
• PKCS12일반 텍스트 PEM 형식보다 향상된 보안을 제공하는 RFC에서 나중에 정의된 독점 Microsoft 표준입니다. 비밀 키 자료를 포함할 수 있습니다. 주로 Windows 시스템에서 사용되며 openssl을 사용하여 PEM 형식으로 자유롭게 변환할 수 있습니다.
• 데르- 상위 PEM 형식. PEM 파일의 base64 인코딩 바이너리 버전으로 생각하면 도움이 됩니다. Windows 외부에서 항상 많이 사용되는 것은 아닙니다.

도움이 되었기를 바랍니다.

PEM 자체는 인증서가 아니며 데이터를 인코딩하는 방법일 뿐입니다. X.509 인증서는 일반적으로 PEM을 사용하여 인코딩되는 데이터 유형 중 하나입니다.

PEM은 ASR.1 DER(전용 인코딩 규칙)을 사용하여 인코딩된 X.509 인증서(그 구조는 ASN.1을 사용하여 정의됨)이며 Base64 인코딩을 통해 실행되고 앵커 텍스트 문자열(BEGIN CERTIFICATE 및 END CERTIFICATE) 줄 사이에 끼어듭니다.

PKCS#7 또는 PKCS#12 표시를 사용하여 동일한 데이터를 표시할 수 있으며 이를 위해 openssl 명령줄 유틸리티를 사용할 수 있습니다.

PEM의 명백한 장점은 앵커 라인이 있고 7비트 깨끗하기 때문에 이메일 메시지 본문에 삽입하는 것이 안전하다는 것입니다.

RFC1422에는 키 및 인증서와 관련된 PEM 표준에 대한 자세한 내용이 있습니다.

하나의 인증서 형식을 다른 형식으로 변환해야 하는 즉시 "이 작업을 수행하는 방법은 무엇입니까?"라는 질문이 발생할 때마다. 이를 위해 OpenSSL()을 사용하는 것이 가장 편리합니다. 이 사이트에는 소스 코드가 포함되어 있습니다. 소스 코드를 컴파일할 의사가 없으면 OpenSSL의 컴파일된 버전을 가져올 수 있으며 링크에서 다운로드할 수 있습니다. 기존 인증서 형식이 소프트웨어 또는 하드웨어에 적합하지 않은 경우 변환이 필요합니다.
따라서 하나의 인증서 형식을 다른 형식으로 변환해야 하는 경우 로컬 컴퓨터에 OpenSSL을 다운로드하여 설치해야 합니다. 또한 OpenSSL이 있는 폴더에서 변환해야 하는 인증서의 기존 파일을 복사하고 명령줄을 열고 OpenSSL이 설치된 폴더로 이동하는 것이 좋습니다.

일반적으로 사용되는 인증서 형식:
PEM- Linux 기반 시스템 또는 하드웨어에서 매우 일반적으로 사용되는 이러한 인증서 형식 파일은 확장자 .cer, .crt 및 .pem을 사용합니다.
데르- 바이너리 인증서 형식. DER 형식은 "BEGIN CERTIFICATE/END CERTIFICATE" 텍스트를 포함하지 않으며 DER 형식은 .der 확장자를 가장 자주 사용합니다.
PKCS#7또는 P7B- 이러한 인증서 형식은 Base64 ASCII 형식으로 저장되며 대부분 .p7b 또는 .p7c 파일 확장자를 갖습니다. 인증서 자체 외에도 P7B 파일에는 발급 인증 기관(중간 CA)의 인증서(공개 키) 체인이 포함되어 있습니다. 이 형식은 Windows 및 Java Tomcat에서 지원됩니다.
PKCS#12또는 PFX- 이러한 형식은 서버 인증서, 중간 인증서 및 개인 키를 하나의 암호화된 파일에 저장하기 위한 바이너리 형식입니다. 이 인증서 형식의 파일은 .pfx 및 .p12 확장자를 사용합니다. PFX 파일은 일반적으로 Windows 시스템에서 인증서 및 개인 키를 가져오고 내보내는 데 사용됩니다.

x509를 PEM으로 변환
openssl x509 -in certificate.cer -outform PEM -out certificate.pem
변환 중PEM V데르
openssl x509 -outform der -in certificate.pem -out certificate.der
변환 중데르 V PEM
openssl x509 -inform der -in certificate.der -out certificate.pem
변환 중PEM V P7B
openssl crl2pkcs7 -nocrl -certfile 인증서.pem -out 인증서.p7b -certfile CACert.cer
변환 중PKCS7 V PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
변환 중pfx V PEM
openssl pkcs12 -in certificate.pfx -out certificate.pem
변환 중PFX V PKCS#8

1 단계: 변환 중PFX V PEM
openssl pkcs12 -in certificate.pfx -nocerts -nodes -out certificate.pem 2 단계: 변환 중PEM V PKCS8
openSSL pkcs8 -in certificate.pem -topk8 -nocrypt -out certificate.pk8
변환 중P7B V PFX
이렇게 하려면 두 가지 명령을 실행해야 합니다.

1. 변환 중 P7B V세르
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer 2. 변환 중 CER 및 개인 키 V PFX
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile cacert.cer

사이트에서 암호화를 실행할 때 각 서버에는 별도의 유형의 인증서 파일이 필요합니다. SSL 변환기를 사용하면 시스템 요구 사항에 따라 6가지 형식의 파일을 쉽고 빠르게 교체할 수 있습니다. 옵션은 PEM, DER, PKCS#7, P7B, PKCS#12 및 PFX입니다.

인증서가 서버에서 제공되지 않는 형식으로 발급된 경우 아래 변환기를 사용하십시오.

• 현재 인증서 형식을 선택하고
• 변경하려는 형식을 선택하고
• SSL 인증서 파일 업로드,
• 버튼을 클릭하십시오 - 변환하십시오.

.pem 형식

SSL 인증서를 발급하기 위해 CA에서 가장 널리 사용되는 형식입니다. 중간 또는 마스터 CA도 이 형식으로 발급될 수 있습니다. 이 유형은 파일 확장명 다음에 인식됩니다. .pem, .crt, .cer또는 .열쇠(파일에는 인증서, 키 등의 BEGIN 및 END 라인이 포함되어 있습니다.) Base64 형식으로 인코딩됩니다.

PEM은 Apache 서버 등과 호환됩니다. 설치하는 동안 대부분의 서버에는 별도의 파일이 필요합니다. 인증서는 개인 키 등에 연결할 수 없습니다.

DER 형식

이것은 PEM의 바이너리 형식입니다. 이 인증서 형식의 파일은 다음으로 끝날 수 있습니다. .데르또는 .cer.

DER은 주로 서버에 설치하는 데 사용됩니다. 자바. 변환기를 사용하면 인증서를 .der 유형 형식으로 변경할 수 있으며 OpenSSL 명령을 사용하여 키를 변환해야 합니다.

PKCS#7 또는 P7B 형식

이러한 파일은 일반적으로 Base64로 인코딩되며 다음으로 끝납니다. .p7b또는 .p7c. P7B 파일에는 "-----BEGIN PKCS7-----" 및 "-----END PKCS7-----" 줄이 포함되어 있습니다. 이 형식에는 개인 키가 없습니다.

PKCS#7 및 P7B는 mp 설치에 사용됩니다. 서버에서 마이크로소프트 윈도우그리고 자바 톰캣.

PKCS#12 또는 PFX 형식

도메인(웹 페이지)에 대해 발급된 인증서, 중간 인증서 및 개인 키를 포함하는 바이너리 형식입니다. 파일에는 일반적으로 엔딩이 있습니다. .pfx또는 .p12. 서버의 개인 키뿐만 아니라 인증서를 가져오고 내보내는 데 가장 자주 사용됨 윈도우.

PFX 형식을 PEM으로 변경하면 인증서와 개인 키가 하나의 파일에 배치됩니다. 이를 분리하려면 텍스트 편집기에서 파일을 열고 BEGIN 및 END 행과 함께 별도의 파일로 복사한 다음 sertifikat.cer, CA.cer 및 private.key로 기록해야 합니다.

OpenSSL 명령을 사용하여 변환하려면 클릭하십시오.