Què cal saber
- Un fitxer PEM és un fitxer de certificat de correu millorat de privadesa.
- Obre'n un amb el programa o sistema operatiu que requereix el fitxer (tots funcionen una mica diferent).
- Converteix a PPK, PFX o CRT amb una comanda o un convertidor especial.
Aquest article explica per a què s'utilitzen els fitxers PEM, com obrir-ne un en funció del programa o sistema operatiu que utilitzeu i com convertir-ne un a un format de fitxer de certificat diferent.
Què és un fitxer PEM?
Un fitxer PEM és un fitxer de certificat de correu millorat de privadesa que s'utilitza per transmetre correu electrònic de manera privada. La persona que rep aquest correu electrònic pot estar segura que el missatge no s'ha modificat durant la transmissió, que no s'ha mostrat a ningú més i que l'ha enviat la persona que afirma haver-lo enviat.
Els fitxers PEM van sorgir de la complicació d'enviar dades binàries per correu electrònic. El format PEM codifica el binari amb base64 de manera que existeixi com a cadena ASCII.
El format PEM s'ha substituït per tecnologies més noves i més segures, però el contenidor PEM encara s'utilitza avui dia per contenir fitxers d'autoritats de certificació, claus públiques i privades, certificats arrel, etc.
Alguns fitxers en format PEM poden utilitzar una extensió de fitxer diferent, com ara CER o CRT per als certificats, o KEY per a claus públiques o privades.
Com obrir fitxers PEM
Els passos per obrir un fitxer PEM són diferents segons l'aplicació que ho necessiti i el sistema operatiu que utilitzeu. Tanmateix, és possible que hàgiu de convertir el fitxer PEM a CER o CRT perquè alguns d'aquests programes acceptin el fitxer.
Windows
Si necessiteu el fitxer CER o CRT en un client de correu electrònic de Microsoft com Outlook, obriu-lo a Internet Explorer per carregar-lo automàticament a la base de dades adequada. El client de correu electrònic el pot utilitzar automàticament des d'allà.
Microsoft ja no és compatible amb Internet Explorer i us recomana que l'actualitzeu al navegador Edge més recent. Dirigiu-vos al seu lloc per baixar la versió més recent.
Per veure quins fitxers de certificat es carreguen a l'ordinador i per importar-ne'n manualment, utilitzeu el menú Tools d'Internet Explorer per accedir a les Opcions d'Internet> Contingut > Certificats, com aquest:
Per importar un fitxer CER o CRT a Windows, comenceu per obrir Microsoft Management Console des del quadre de diàleg Executar (utilitzeu la tecla Windows + R per introduir). mmc ). A partir d'aquí, aneu a Fitxer > Afegeix/Elimina un complement… i seleccioneu Certificats a la columna de l'esquerra i, a continuació, Afegeix el botó > al centre de la finestra.
Trieu Compte d'ordinador a la pantalla següent i, a continuació, desplaceu-vos per l'assistent, seleccionant Ordinador local quan se us demani. Un cop s'hagi carregat "Certificats" a "Arrel de la consola", amplieu la carpeta i feu clic amb el botó dret a Autoritats de certificació arrel de confiança i trieu Totes les tasques > Importació
macOS
El mateix concepte és cert per al vostre client de correu electrònic de Mac que per a Windows: feu servir Safari per importar el fitxer PEM a Keychain Access.
També podeu importar certificats SSL a través del menú Fitxer > Importa elements a l'accés al clauer. Trieu Sistema al menú desplegable i, a continuació, seguiu les instruccions a la pantalla.
Si aquests mètodes no funcionen per importar el fitxer PEM a macOS, podeu provar l'ordre següent (canvieu "yourfile.pem" perquè sigui el nom i la ubicació del vostre fitxer PEM específic):
importació de seguretat el vostre fitxer.pem -k ~/Library/Keychains/login.keychain
Linux
Utilitzeu aquesta ordre keytool per veure el contingut d'un fitxer PEM a Linux:
keytool -printcert -file yourfile.pem
Seguiu aquests passos si voleu importar un fitxer CRT al dipòsit d'autoritats de certificació de confiança de Linux (consulteu el mètode de conversió PEM a CRT a la secció següent a continuació si teniu un fitxer PEM):
- Navega a /usr/share/ca-certificates/.
- Creeu una carpeta allà (per exemple, sudo mkdir /usr/share/ca-certificates/work).
- Copieu el fitxer. CRT a la carpeta acabada de crear. Si preferiu no fer-ho manualment, podeu utilitzar aquesta ordre: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Assegureu-vos que els permisos estiguin configurats correctament (755 per a la carpeta i 644 per al fitxer).
Executeu l'ordre sudo update-ca-certificates.
Firefox i Thunderbird
Si el fitxer PEM s'ha d'importar a un client de correu electrònic de Mozilla com Thunderbird, primer haureu d'exportar el fitxer PEM des del Firefox. Obriu el menú de Firefox i trieu Opcions Vés a Privadesa i seguretat i cerqueu la secció Seguretat i, a continuació, utilitzeu el botó Veure certificats… per obrir una llista, des d'on podeu seleccionar el que necessiteu exportar. Utilitzeu l'opció Còpia de seguretat… per desar-la.
A continuació, a Thunderbird, obriu el menú i feu clic o toqueu Opcions Navegueu a Avançat > Certificats> Gestiona els certificats > Els vostres certificats > Importació Des de la secció "Nom del fitxer:" de a la finestra Importa, seleccioneu Fitxers de certificat al menú desplegable i, a continuació, cerqueu i obriu el fitxer PEM.
Per importar el fitxer PEM al Firefox, seguiu els mateixos passos que ho faries per exportar-ne un, però trieu Importa en comptes del botó Còpia de seguretat…. Si no trobeu el fitxer PEM, assegureu-vos que l'àrea "Nom del fitxer" del quadre de diàleg estigui configurada a Fitxers de certificat i no a Fitxers PKCS12
Java KeyStore
Stack Overflow té un fil sobre la importació d'un fitxer PEM a Java KeyStore (JKS) si ho necessiteu. Una altra opció que podria funcionar és utilitzar aquesta eina keyutil.
Com convertir un fitxer PEM
A diferència de la majoria dels formats de fitxer que es poden convertir amb una eina de conversió de fitxers o un lloc web, cal que introduïu ordres especials en un programa concret per convertir el format de fitxer PEM a la majoria dels altres formats.
Converteix PEM a PPK amb PuTTYGen. Trieu Carrega al costat dret del programa, configureu el tipus de fitxer com a qualsevol fitxer (.) i, a continuació, cerqueu i obriu el fitxer PEM. Trieu Desa la clau privada per crear el fitxer PPK.
Amb OpenSSL (obté la versió de Windows aquí), podeu convertir el fitxer PEM a PFX amb l'ordre següent:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Si teniu un fitxer PEM que s'ha de convertir a CRT, com és el cas d'Ubuntu, utilitzeu aquesta ordre amb OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
OpenSSL també admet la conversió de. PEM a. P12 (PKCS12, o estàndard de criptografia de clau pública 12), però afegiu l'extensió de fitxer ". TXT" al final del fitxer abans d'executar aquesta ordre:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Vegeu l'enllaç Stack Overflow anterior sobre l'ús del fitxer PEM amb Java KeyStore si voleu convertir el fitxer a JKS, o aquest tutorial d'Oracle per importar el fitxer a Java truststore.
Més informació sobre PEM
La funció d'integritat de dades del format de certificat de correu millorat de privadesa utilitza resums de missatges RSA-MD2 i RSA-MD5 per comparar un missatge abans i després d'enviar-lo, per assegurar-se que no s'hagi manipulat durant el camí.
Al principi d'un fitxer PEM hi ha una capçalera que diu -----BEGIN [etiqueta]----- i al final de les dades hi ha un peu de pàgina similar com aquest: ----- FIN [etiqueta] -----. La secció "[etiqueta]" descriu el missatge, de manera que pot llegir-se CLAU PRIVADA, SOL·LICITUD DE CERTIFICAT o CERTIFICAT.
Aquí tens un exemple:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Un fitxer PEM pot contenir diversos certificats, en aquest cas les seccions "FIN" i "COMENÇAR" es troben entre si.
Encara no pots obrir el fitxer?
Una de les raons per les quals el vostre fitxer no s'obre de cap de les maneres descrites anteriorment és que en realitat no esteu tractant amb un fitxer PEM. És possible que tingueu un fitxer que només utilitzi una extensió de fitxer escrita de manera semblant. Quan aquest és el cas, no és necessari que els dos fitxers estiguin relacionats o que funcionin amb els mateixos programes de programari.
Per exemple, el PEF s'assembla molt al PEM, però pertany al format de fitxer Pentax Raw Image o al format Portable Embosser. Segueix aquest enllaç per veure com obrir o convertir fitxers PEF, si és el que realment tens.
El mateix es podria dir de moltes altres extensions de fitxers com EPM, EMP, EPP, PES, PET… ja enteneu la idea. Només cal que comproveu l'extensió del fitxer per veure que realment llegeix ".pem" abans de considerar que els mètodes anteriors no funcionen.
Si esteu tractant amb un fitxer KEY, tingueu en compte que no tots els fitxers que acaben en. KEY pertanyen al format descrit en aquesta pàgina. En canvi, podrien ser fitxers de claus de llicència de programari utilitzats quan es registren programes de programari com LightWave o fitxers de presentació de Keynote creats per Apple Keynote.
FAQ
Com puc crear un fitxer PEM?
El primer pas per crear un fitxer PEM és baixar els certificats que t'ha enviat la teva autoritat de certificació. Això inclourà un certificat intermedi, un certificat arrel, un certificat principal i fitxers de clau privada.
A continuació, obriu un editor de text, com ara WordPad o Bloc de notes, i enganxeu el cos de cada certificat en un fitxer de text nou. Haurien d'estar en aquest ordre: clau privada, certificat primari, certificat intermedi, certificat arrel. Afegiu etiquetes d'inici i de finalització. Tindran aquest aspecte:
Finalment, deseu el fitxer com a your_domain.pem.
Un fitxer PEM és el mateix que un fitxer CRT?
No. Els fitxers PEM i CRT estan relacionats; tots dos tipus de fitxer representen diferents aspectes del procés de generació i verificació de claus. Els fitxers PEM són contenidors destinats a verificar i desxifrar les dades que envia un servidor. Un fitxer CRT (que significa certificat) representa una sol·licitud de signatura de certificat. Els fitxers CRT són una manera de verificar la propietat sense accés de clau privada. Els fitxers CRT contenen la clau pública juntament amb molta més informació.
