Co je dobré vědět
- Soubor PEM je soubor certifikátu e-mailu s rozšířeným soukromím.
- Otevřete jeden pomocí programu nebo operačního systému, který soubor vyžaduje (všechny fungují trochu jinak).
- Převeďte na PPK, PFX nebo CRT pomocí příkazu nebo speciálního převodníku.
Tento článek vysvětluje, k čemu se soubory PEM používají, jak je otevřít v závislosti na používaném programu nebo OS a jak je převést na jiný formát souboru certifikátu.
Co je soubor PEM?
Soubor PEM je soubor certifikátu e-mailu s rozšířenou ochranou soukromí, který se používá k soukromému přenosu e-mailů. Osoba, která obdrží tento e-mail, si může být jistá, že zpráva nebyla během přenosu změněna, nebyla zobrazena nikomu jinému a byla odeslána osobou, která tvrdí, že ji odeslala.
Soubory PEM vznikly z komplikace zasílání binárních dat e-mailem. Formát PEM kóduje binárně s base64, takže existuje jako řetězec ASCII.
Formát PEM byl nahrazen novějšími a bezpečnějšími technologiemi, ale kontejner PEM se dnes stále používá k uložení souborů certifikačních autorit, veřejných a soukromých klíčů, kořenových certifikátů atd.
Některé soubory ve formátu PEM mohou místo toho používat jinou příponu souboru, například CER nebo CRT pro certifikáty nebo KEY pro veřejné nebo soukromé klíče.
Jak otevřít soubory PEM
Postup pro otevření souboru PEM se liší v závislosti na aplikaci, která jej potřebuje, a na operačním systému, který používáte. Možná však budete muset převést soubor PEM na CER nebo CRT, aby některé z těchto programů soubor přijaly.
Windows
Pokud potřebujete soubor CER nebo CRT v e-mailovém klientovi společnosti Microsoft, jako je Outlook, otevřete jej v aplikaci Internet Explorer, aby se automaticky načetl do správné databáze. E-mailový klient jej odtud může automaticky používat.
Microsoft již nepodporuje Internet Explorer a doporučuje aktualizaci na novější prohlížeč Edge. Přejděte na jejich stránky a stáhněte si nejnovější verzi.
Chcete-li zjistit, které soubory certifikátů jsou načteny do vašeho počítače, a importovat je ručně, použijte nabídku Tools pro přístup k Možnosti Internetu aplikace Internet Explorer> Obsah > Certifikáty, takto:
Chcete-li importovat soubor CER nebo CRT do systému Windows, začněte otevřením konzoly Microsoft Management Console z dialogového okna Spustit (pomocí klávesové zkratky Windows Key + R zadejtemmc ). Odtud přejděte na File > Add/Remove Snap-in… a v levém sloupci vyberte Certificates a poté Přidejte tlačítko > do středu okna.
Na následující obrazovce vyberte Počítačový účet a poté procházejte průvodcem a na dotaz vyberte Místní počítač. Po načtení "Certifikáty" pod "Kořen konzoly " rozb alte složku a klikněte pravým tlačítkem na Důvěryhodné kořenové certifikační úřady a vyberte Všechny úkoly > Import
macOS
Pro váš e-mailový klient Mac platí stejný koncept jako pro Windows: použijte Safari k importu souboru PEM do Keychain Access.
Certifikáty SSL můžete také importovat prostřednictvím nabídky File > Import položek v Keychain Access. Z rozbalovací nabídky vyberte System a poté postupujte podle pokynů na obrazovce.
Pokud tyto metody při importu souboru PEM do macOS nefungují, můžete zkusit následující příkaz (změňte „váš soubor.pem“na název a umístění vašeho konkrétního souboru PEM):
import zabezpečení yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Tento příkaz keytool použijte k zobrazení obsahu souboru PEM v systému Linux:
keytool -printcert -file yourfile.pem
Pokud chcete importovat soubor CRT do úložiště důvěryhodných certifikačních autorit systému Linux, postupujte podle těchto kroků (pokud místo toho máte soubor PEM, viz způsob převodu PEM na CRT v další části níže):
- Přejděte na /usr/share/ca-certificates/.
- Vytvořte tam složku (například sudo mkdir /usr/share/ca-certificates/work).
- Zkopírujte soubor. CRT do nově vytvořené složky. Pokud to raději nechcete dělat ručně, můžete místo toho použít tento příkaz: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Ujistěte se, že jsou správně nastavena oprávnění (755 pro složku a 644 pro soubor).
- Spusťte příkaz sudo update-ca-certificates.
Firefox a Thunderbird
Pokud je třeba soubor PEM importovat do e-mailového klienta Mozilla, jako je Thunderbird, možná budete muset nejprve exportovat soubor PEM z Firefoxu. Otevřete nabídku Firefoxu a vyberte Možnosti Přejděte na Soukromí a zabezpečení a najděte sekci Zabezpečení a poté pomocí tlačítka Zobrazit certifikáty… otevřete seznam, ze kterého můžete vybrat ten, který potřebujete exportovat. K uložení použijte možnost Backup….
Poté v Thunderbirdu otevřete nabídku a klikněte nebo klepněte na Options Přejděte na Advanced > Certifikáty> Správa certifikátů > Vaše certifikáty > Import Z části "Název souboru:" v okně Import vyberte z rozevírací nabídky Certificate Files a poté najděte a otevřete soubor PEM.
Chcete-li importovat soubor PEM do Firefoxu, postupujte stejně jako při exportu souboru, ale místo tlačítka Zálohovat… zvolte Import. Pokud nemůžete najít soubor PEM, ujistěte se, že oblast "Filename" v dialogovém okně je nastavena na Certificate Files a ne PKCS12 Files
Java KeyStore
Stack Overflow má vlákno o importu souboru PEM do Java KeyStore (JKS), pokud to potřebujete. Další možností, která by mohla fungovat, je použití tohoto nástroje keyutil.
Jak převést soubor PEM
Na rozdíl od většiny formátů souborů, které lze převést pomocí nástroje pro převod souborů nebo webové stránky, musíte pro převod formátu souboru PEM na většinu ostatních formátů zadat speciální příkazy pro konkrétní program.
Převeďte PEM na PPK pomocí PuTTYGen. Na pravé straně programu zvolte Load, nastavte typ souboru na libovolný soubor (.) a poté vyhledejte a otevřete svůj soubor PEM. Vyberte Uložit soukromý klíč a vytvořte soubor PPK.
Pomocí OpenSSL (zde získáte verzi pro Windows) můžete převést soubor PEM na PFX pomocí následujícího příkazu:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Pokud máte soubor PEM, který je třeba převést na CRT, jako je tomu v případě Ubuntu, použijte tento příkaz s OpenSSL:
openssl x509 -v yourfile.pem -informujte PEM -out yourfile.crt
OpenSSL také podporuje převod. PEM na. P12 (PKCS12 nebo Public Key Cryptography Standard 12), ale před spuštěním tohoto příkazu přidejte na konec souboru příponu „. TXT“:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Viz výše uvedený odkaz Stack Overflow o použití souboru PEM s Java KeyStore, pokud chcete soubor převést na JKS, nebo tento výukový program od společnosti Oracle pro import souboru do úložiště Java Truststore.
Další informace o PEM
Funkce integrity dat formátu Privacy Enhanced Mail Certificate využívá přehledy zpráv RSA-MD2 a RSA-MD5 k porovnání zprávy před a po jejím odeslání, aby bylo zajištěno, že s ní nebude během cesty manipulováno.
Na začátku souboru PEM je záhlaví, které zní -----BEGIN [label]-----, a konec dat je podobné zápatí, jako je toto: ----- KONEC [štítek] -----. Část „[štítek]“popisuje zprávu, takže může znít PRIVATE KEY, CERTIFICATE REQUEST nebo CERTIFICATE.
Zde je příklad:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Jeden soubor PEM může obsahovat více certifikátů, v takovém případě se sekce „END“a „BEGIN“navzájem sousedí.
Stále nemůžete soubor otevřít?
Jedním z důvodů, proč se váš soubor neotevře žádným z výše popsaných způsobů, je to, že ve skutečnosti nepracujete se souborem PEM. Místo toho můžete mít soubor, který používá podobně napsanou příponu souboru. Pokud tomu tak je, není nutné, aby tyto dva soubory spolu souvisely nebo aby fungovaly se stejnými softwarovými programy.
Například PEF vypadá strašně jako PEM, ale místo toho patří buď do formátu souboru Pentax Raw Image nebo Portable Embosser Format. Kliknutím na tento odkaz zjistíte, jak otevřít nebo převést soubory PEF, pokud to opravdu máte.
Totéž lze říci o mnoha dalších příponách souborů, jako je EPM, EMP, EPP, PES, PET… chápete. Jen dvakrát zkontrolujte příponu souboru, abyste viděli, že skutečně čte „.pem“, než uvážíte, že výše uvedené metody nefungují.
Pokud máte co do činění se souborem KEY, uvědomte si, že ne všechny soubory končící na. KEY patří do formátu popsaného na této stránce. Místo toho to mohou být soubory softwarového licenčního klíče používané při registraci softwarových programů, jako je LightWave, nebo soubory Keynote Presentation vytvořené Apple Keynote.
FAQ
Jak vytvořím soubor PEM?
Prvním krokem k vytvoření souboru PEM je stažení certifikátů, které vám zaslala vaše certifikační autorita. To bude zahrnovat zprostředkující certifikát, kořenový certifikát, primární certifikát a soubory soukromého klíče.
Poté otevřete textový editor, jako je WordPad nebo Poznámkový blok, a vložte tělo každého certifikátu do nového textového souboru. Měly by být v tomto pořadí: soukromý klíč, primární certifikát, zprostředkující certifikát, kořenový certifikát. Přidejte počáteční a koncové značky. Budou vypadat takto:
Nakonec uložte soubor jako vaše_doména.pem.
Je soubor PEM to samé jako soubor CRT?
Ne. Soubory PEM a CRT spolu souvisí; oba typy souborů představují různé aspekty procesu generování a ověřování klíčů. Soubory PEM jsou kontejnery určené k ověřování a dešifrování dat, která server odesílá. Soubor CRT (což znamená certifikát) představuje žádost o podpis certifikátu. Soubory CRT představují způsob, jak ověřit vlastnictví bez přístupu k soukromému klíči. Soubory CRT obsahují veřejný klíč spolu s mnohem více informacemi.
