Что нужно знать
- Файл PEM представляет собой файл почтового сертификата повышенной конфиденциальности.
- Откройте один с помощью программы или операционной системы, для которых требуется файл (все они работают немного по-разному).
- Конвертировать в PPK, PFX или CRT с помощью команды или специального преобразователя.
В этой статье объясняется, для чего используются файлы PEM, как открыть их в зависимости от используемой программы или ОС и как преобразовать их в другой формат файла сертификата.
Что такое файл PEM?
Файл PEM - это файл почтового сертификата с улучшенной конфиденциальностью, используемый для частной передачи электронной почты. Человек, получивший это электронное письмо, может быть уверен, что сообщение не было изменено во время его передачи, никому не было показано и было отправлено лицом, которое утверждает, что отправило его.
Файлы PEM возникли из-за сложности отправки двоичных данных по электронной почте. Формат PEM кодирует двоичный код с помощью base64, поэтому он существует в виде строки ASCII.
Формат PEM был заменен более новыми и безопасными технологиями, но контейнер PEM по-прежнему используется сегодня для хранения файлов центра сертификации, открытых и закрытых ключей, корневых сертификатов и т. д.
Некоторые файлы в формате PEM могут вместо этого использовать другое расширение файла, например, CER или CRT для сертификатов или KEY для открытых или закрытых ключей.
Как открыть файлы PEM
Этапы открытия файла PEM различаются в зависимости от приложения, которому он нужен, и используемой операционной системы. Однако вам может потребоваться преобразовать файл PEM в формат CER или CRT, чтобы некоторые из этих программ могли принять файл.
Windows
Если вам нужен файл CER или CRT в почтовом клиенте Microsoft, таком как Outlook, откройте его в Internet Explorer, чтобы он автоматически загружался в соответствующую базу данных. Почтовый клиент может автоматически использовать его оттуда.
Microsoft больше не поддерживает Internet Explorer и рекомендует установить более новый браузер Edge. Перейдите на их сайт, чтобы загрузить новейшую версию.
Чтобы увидеть, какие файлы сертификатов загружены на ваш компьютер, и импортировать их вручную, используйте меню Инструменты Internet Explorer для доступа к Свойства обозревателя> Content > Сертификаты, например:
Чтобы импортировать файл CER или CRT в Windows, начните с открытия консоли управления Microsoft из диалогового окна «Выполнить» (используйте сочетание клавиш Windows + R, чтобы ввестиmmc ). Оттуда перейдите к File > Add/Remove Snap-in… и выберите Certificates в левом столбце, а затем нажмите Добавьте кнопку > в центр окна.
Выберите Учетная запись компьютера на следующем экране, а затем пройдите через мастер, выбрав Локальный компьютер при появлении запроса. После загрузки «Сертификаты» в разделе «Корень консоли» разверните папку и щелкните правой кнопкой мыши Доверенные корневые центры сертификации и выберите Все задачи > Импорт
macOS
Та же концепция верна для вашего почтового клиента Mac, что и для клиента Windows: используйте Safari, чтобы импортировать файл PEM в Keychain Access.
Вы также можете импортировать SSL-сертификаты через меню Файл > Import Items в Keychain Access. Выберите System в раскрывающемся меню и следуйте инструкциям на экране.
Если эти методы не работают для импорта файла PEM в macOS, вы можете попробовать следующую команду (измените «yourfile.pem» на имя и местоположение вашего конкретного файла PEM):
security import yourfile.pem -k ~/Library/Keychains/login.keychain
Линукс
Используйте эту команду keytool для просмотра содержимого файла PEM в Linux:
keytool -printcert -file yourfile.pem
Выполните следующие шаги, если вы хотите импортировать файл CRT в репозиторий доверенного центра сертификации Linux (см. метод преобразования PEM в CRT в следующем разделе ниже, если вместо этого у вас есть файл PEM):
- Перейдите к /usr/share/ca-certificates/.
- Создайте там папку (например, sudo mkdir /usr/share/ca-certificates/work).
- Скопируйте файл. CRT в только что созданную папку. Если вы не хотите делать это вручную, вы можете использовать следующую команду: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Убедитесь, что права доступа установлены правильно (755 для папки и 644 для файла).
Выполните команду sudo update-ca-certificates.
Firefox и Thunderbird
Если файл PEM необходимо импортировать в почтовый клиент Mozilla, такой как Thunderbird, вам, возможно, придется сначала экспортировать файл PEM из Firefox. Откройте меню Firefox и выберите Опции. Перейдите в раздел Конфиденциальность и безопасность и найдите раздел Безопасность, а затем используйте кнопку Просмотр сертификатов…, чтобы открыть список, из которого вы можете выбрать тот, который вам нужно экспортировать. Используйте опцию Резервное копирование…, чтобы сохранить его.
Затем в Thunderbird откройте меню и нажмите или коснитесь Опции Перейдите к Дополнительно > Сертификаты> Управление сертификатами > Ваши сертификаты > Импорт Из раздела «Имя файла:» В окне «Импорт» выберите Certificate Files в раскрывающемся списке, а затем найдите и откройте файл PEM.
Чтобы импортировать файл PEM в Firefox, просто выполните те же действия, что и для его экспорта, но выберите Импорт вместо кнопки Резервное копирование…. Если вы не можете найти файл PEM, убедитесь, что в области «Имя файла» диалогового окна установлено значение Certificate Files, а не PKCS12 Files
Java KeyStore
В Stack Overflow есть тема об импорте файла PEM в хранилище ключей Java (JKS), если вам это нужно. Другой вариант, который может сработать, - использовать этот инструмент keyutil.
Как преобразовать файл PEM
В отличие от большинства форматов файлов, которые можно преобразовать с помощью инструмента преобразования файлов или веб-сайта, вам необходимо ввести специальные команды для конкретной программы, чтобы преобразовать формат файла PEM в большинство других форматов.
Конвертируйте PEM в PPK с помощью PuTTYGen. Выберите Load в правой части программы, установите любой тип файла (.), а затем найдите и откройте файл PEM. Выберите Сохранить закрытый ключ, чтобы создать файл PPK.
С помощью OpenSSL (получите версию для Windows здесь) вы можете преобразовать файл PEM в PFX с помощью следующей команды:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Если у вас есть файл PEM, который необходимо преобразовать в CRT, как в случае с Ubuntu, используйте эту команду с OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
OpenSSL также поддерживает преобразование. PEM в. P12 (PKCS12 или стандарт шифрования с открытым ключом 12), но перед выполнением этой команды добавьте расширение «. TXT» в конец файла:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
См. приведенную выше ссылку Stack Overflow об использовании файла PEM с Java KeyStore, если вы хотите преобразовать файл в JKS, или это руководство от Oracle, чтобы импортировать файл в хранилище доверия Java.
Дополнительная информация о PEM
Функция целостности данных формата Privacy Enhanced Mail Certificate использует дайджесты сообщений RSA-MD2 и RSA-MD5 для сравнения сообщения до и после его отправки, чтобы гарантировать, что оно не было подделано в пути.
В начале файла PEM находится заголовок, который читается как -----BEGIN [метка]-----, а конец данных представляет собой аналогичный нижний колонтитул, подобный этому: ----- КОНЕЦ [метка] -----. Раздел «[метка]» описывает сообщение, поэтому оно может иметь следующий вид: PRIVATE KEY, CERTIFICATE REQUEST или CERTIFICATE..
Вот пример:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Один файл PEM может содержать несколько сертификатов, и в этом случае разделы "END" и "BEGIN" находятся рядом друг с другом.
Все еще не удается открыть файл?
Одна из причин, по которой ваш файл не открывается ни одним из способов, описанных выше, заключается в том, что на самом деле вы имеете дело не с файлом PEM. Вместо этого у вас может быть файл, который просто использует аналогичное расширение файла. В этом случае нет необходимости, чтобы эти два файла были связаны или чтобы они работали с одними и теми же программами.
Например, PEF очень похож на PEM, но относится либо к формату файлов Pentax Raw Image, либо к Portable Embosser Format. Перейдите по этой ссылке, чтобы узнать, как открывать или конвертировать файлы PEF, если это то, что у вас действительно есть.
То же самое можно сказать и о многих других расширениях файлов, таких как EPM, EMP, EPP, PES, PET… ну вы поняли. Просто дважды проверьте расширение файла, чтобы убедиться, что оно на самом деле читается как «.pem», прежде чем считать, что описанные выше методы не работают.
Если вы имеете дело с файлом KEY, имейте в виду, что не все файлы, оканчивающиеся на. KEY, относятся к формату, описанному на этой странице. Вместо этого они могут быть файлами лицензионного ключа программного обеспечения, используемыми при регистрации таких программ, как LightWave, или файлами презентации Keynote, созданными Apple Keynote.
FAQ
Как создать файл PEM?
Первым шагом к созданию файла PEM является загрузка сертификатов, отправленных вам центром сертификации. Это будет включать в себя промежуточный сертификат, корневой сертификат, первичный сертификат и файлы закрытого ключа.
Далее откройте текстовый редактор, например WordPad или Блокнот, и вставьте тело каждого сертификата в новый текстовый файл. Они должны быть в следующем порядке: закрытый ключ, основной сертификат, промежуточный сертификат, корневой сертификат. Добавьте начальный и конечный теги. Они будут выглядеть так:
Наконец, сохраните файл как your_domain.pem.
Является ли файл PEM тем же, что и файл CRT?
Нет. Файлы PEM и CRT связаны; оба типа файлов представляют разные аспекты процесса генерации и проверки ключей. Файлы PEM - это контейнеры, предназначенные для проверки и расшифровки данных, отправляемых сервером. Файл CRT (что означает сертификат) представляет собой запрос на подпись сертификата. Файлы CRT - это способ подтвердить право собственности без доступа к закрытому ключу. Файлы CRT содержат открытый ключ и гораздо больше информации.
