Τι πρέπει να γνωρίζετε
- Ένα αρχείο PEM είναι ένα αρχείο πιστοποιητικού αλληλογραφίας ενισχυμένου απορρήτου.
- Ανοίξτε ένα με το πρόγραμμα ή το λειτουργικό σύστημα που απαιτεί το αρχείο (όλα λειτουργούν λίγο διαφορετικά).
- Μετατροπή σε PPK, PFX ή CRT με εντολή ή ειδικό μετατροπέα.
Αυτό το άρθρο εξηγεί για ποιον σκοπό χρησιμοποιούνται αρχεία PEM, πώς να ανοίξετε ένα ανάλογα με το πρόγραμμα ή το λειτουργικό σύστημα που χρησιμοποιείτε και πώς να μετατρέψετε ένα σε διαφορετική μορφή αρχείου πιστοποιητικού.
Τι είναι ένα αρχείο PEM;
Ένα αρχείο PEM είναι ένα αρχείο πιστοποιητικού αλληλογραφίας ενισχυμένου απορρήτου που χρησιμοποιείται για την ιδιωτική μετάδοση μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το άτομο που λαμβάνει αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να είναι βέβαιο ότι το μήνυμα δεν τροποποιήθηκε κατά τη μετάδοσή του, δεν εμφανίστηκε σε κανέναν άλλο και στάλθηκε από το άτομο που ισχυρίζεται ότι το έστειλε.
Τα αρχεία PEM προέκυψαν από την επιπλοκή της αποστολής δυαδικών δεδομένων μέσω email. Η μορφή PEM κωδικοποιεί δυαδικό με το base64 έτσι ώστε να υπάρχει ως συμβολοσειρά ASCII.
Η μορφή PEM έχει αντικατασταθεί από νεότερες και πιο ασφαλείς τεχνολογίες, αλλά το κοντέινερ PEM εξακολουθεί να χρησιμοποιείται σήμερα για τη διατήρηση αρχείων αρχής πιστοποιητικών, δημόσιων και ιδιωτικών κλειδιών, πιστοποιητικών ρίζας κ.λπ.
Ορισμένα αρχεία σε μορφή PEM ενδέχεται να χρησιμοποιούν διαφορετική επέκταση αρχείου, όπως CER ή CRT για πιστοποιητικά ή KEY για δημόσια ή ιδιωτικά κλειδιά.
Πώς να ανοίξετε αρχεία PEM
Τα βήματα για το άνοιγμα ενός αρχείου PEM διαφέρουν ανάλογα με την εφαρμογή που το χρειάζεται και το λειτουργικό σύστημα που χρησιμοποιείτε. Ωστόσο, μπορεί να χρειαστεί να μετατρέψετε το αρχείο PEM σε CER ή CRT προκειμένου ορισμένα από αυτά τα προγράμματα να αποδεχτούν το αρχείο.
Windows
Εάν χρειάζεστε το αρχείο CER ή CRT σε ένα πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου της Microsoft, όπως το Outlook, ανοίξτε το στον Internet Explorer για να φορτωθεί αυτόματα στην κατάλληλη βάση δεδομένων. Ο πελάτης email μπορεί να το χρησιμοποιήσει αυτόματα από εκεί.
Η Microsoft δεν υποστηρίζει πλέον τον Internet Explorer και συνιστά την ενημέρωση στο νεότερο πρόγραμμα περιήγησης Edge. Μεταβείτε στον ιστότοπό τους για λήψη της πιο πρόσφατης έκδοσης.
Για να δείτε ποια αρχεία πιστοποιητικών φορτώνονται στον υπολογιστή σας και για να τα εισαγάγετε με μη αυτόματο τρόπο, χρησιμοποιήστε το μενού Εργαλεία του Internet Explorer για πρόσβαση Επιλογές Διαδικτύου> Περιεχόμενο > Πιστοποιητικά, όπως αυτό:
Για να εισαγάγετε ένα αρχείο CER ή CRT στα Windows, ξεκινήστε ανοίγοντας την Κονσόλα διαχείρισης της Microsoft από το παράθυρο διαλόγου Εκτέλεση (χρησιμοποιήστε τη συντόμευση πληκτρολογίου Κλειδί Windows + R για να εισαγάγετεmmc ). Από εκεί, μεταβείτε στο File > Προσθήκη/Κατάργηση Snap-in… και επιλέξτε Certificates από την αριστερή στήλη και, στη συνέχεια, το Προσθήκη κουμπιού > στο κέντρο του παραθύρου.
Επιλέξτε Λογαριασμός υπολογιστή στην ακόλουθη οθόνη και, στη συνέχεια, μετακινηθείτε στον οδηγό, επιλέγοντας Τοπικός υπολογιστής όταν σας ζητηθεί. Μόλις φορτωθεί το "Πιστοποιητικά" στο "Console Root", αναπτύξτε το φάκελο και κάντε δεξί κλικ Trusted Root Certification Authorities και επιλέξτε Όλες οι εργασίες > Εισαγωγή
macOS
Η ίδια ιδέα ισχύει για το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου Mac σας όπως ισχύει για ένα πρόγραμμα-πελάτη των Windows: χρησιμοποιήστε το Safari για να εισαγάγετε το αρχείο PEM στο Keychain Access.
Μπορείτε επίσης να εισαγάγετε πιστοποιητικά SSL μέσω του μενού File > Εισαγωγή στοιχείων στο μενού Keychain Access. Επιλέξτε System από το αναπτυσσόμενο μενού και, στη συνέχεια, ακολουθήστε τις προτροπές στην οθόνη.
Εάν αυτές οι μέθοδοι δεν λειτουργούν για την εισαγωγή του αρχείου PEM στο macOS, μπορείτε να δοκιμάσετε την ακόλουθη εντολή (αλλάξτε το "yourfile.pem" ως το όνομα και τη θέση του συγκεκριμένου αρχείου PEM):
εισαγωγή ασφαλείας yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Χρησιμοποιήστε αυτήν την εντολή keytool για να προβάλετε τα περιεχόμενα ενός αρχείου PEM στο Linux:
keytool -printcert -file yourfile.pem
Ακολουθήστε αυτά τα βήματα εάν θέλετε να εισαγάγετε ένα αρχείο CRT στο αποθετήριο αξιόπιστης αρχής πιστοποιητικών του Linux (ανατρέξτε στη μέθοδο μετατροπής PEM σε CRT στην επόμενη ενότητα παρακάτω εάν έχετε αντί αυτού αρχείο PEM):
- Πλοήγηση στο /usr/share/ca-certificates/.
- Δημιουργήστε έναν φάκελο εκεί (για παράδειγμα, sudo mkdir /usr/share/ca-certificates/work).
- Αντιγράψτε το αρχείο. CRT σε αυτόν τον νέο φάκελο. Εάν προτιμάτε να μην το κάνετε χειροκίνητα, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Βεβαιωθείτε ότι τα δικαιώματα έχουν οριστεί σωστά (755 για το φάκελο και 644 για το αρχείο).
- Εκτελέστε την εντολή sudo update-ca-certificates.
Firefox και Thunderbird
Εάν το αρχείο PEM χρειάζεται εισαγωγή σε ένα πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου Mozilla όπως το Thunderbird, ίσως χρειαστεί να εξαγάγετε πρώτα το αρχείο PEM από τον Firefox. Ανοίξτε το μενού του Firefox και επιλέξτε Επιλογές Μεταβείτε στο Privacy & Security και βρείτε την ενότητα Ασφάλεια και, στη συνέχεια, χρησιμοποιήστε το κουμπί Προβολή πιστοποιητικών… για να ανοίξετε μια λίστα, από όπου μπορείτε να επιλέξετε αυτό που θέλετε να εξαγάγετε. Χρησιμοποιήστε την επιλογή Backup… για να το αποθηκεύσετε.
Στη συνέχεια, στο Thunderbird, ανοίξτε το μενού και κάντε κλικ ή πατήστε Επιλογές Μεταβείτε στο Για προχωρημένους > Πιστοποιητικά> Διαχείριση πιστοποιητικών > Τα πιστοποιητικά σας > Εισαγωγή από την ενότητα "File στο παράθυρο Εισαγωγή, επιλέξτε Αρχεία πιστοποιητικού από το αναπτυσσόμενο μενού και, στη συνέχεια, βρείτε και ανοίξτε το αρχείο PEM.
Για να εισαγάγετε το αρχείο PEM στον Firefox, απλώς ακολουθήστε τα ίδια βήματα που θα κάνατε για να εξαγάγετε ένα, αλλά επιλέξτε Import αντί για το κουμπί Backup…. Εάν δεν μπορείτε να βρείτε το αρχείο PEM, βεβαιωθείτε ότι η περιοχή "Όνομα αρχείου" του πλαισίου διαλόγου έχει οριστεί σε Αρχεία πιστοποιητικού και όχι PKCS12 Αρχεία
Java KeyStore
Το Το Stack Overflow έχει ένα νήμα σχετικά με την εισαγωγή ενός αρχείου PEM στο Java KeyStore (JKS) εάν χρειάζεται να το κάνετε αυτό. Μια άλλη επιλογή που μπορεί να λειτουργήσει είναι να χρησιμοποιήσετε αυτό το εργαλείο keyutil.
Πώς να μετατρέψετε ένα αρχείο PEM
Σε αντίθεση με τις περισσότερες μορφές αρχείων που μπορούν να μετατραπούν με ένα εργαλείο μετατροπής αρχείων ή έναν ιστότοπο, πρέπει να εισαγάγετε ειδικές εντολές σε ένα συγκεκριμένο πρόγραμμα για να μετατρέψετε τη μορφή αρχείου PEM στις περισσότερες άλλες μορφές.
Μετατροπή PEM σε PPK με το PuTTYGen. Επιλέξτε Load από τη δεξιά πλευρά του προγράμματος, ορίστε τον τύπο αρχείου σε οποιοδήποτε αρχείο (.) και, στη συνέχεια, αναζητήστε και ανοίξτε το αρχείο PEM. Επιλέξτε Αποθήκευση ιδιωτικού κλειδιού για να δημιουργήσετε το αρχείο PPK.
Με το OpenSSL (λάβετε την έκδοση των Windows εδώ), μπορείτε να μετατρέψετε το αρχείο PEM σε PFX με την ακόλουθη εντολή:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Εάν έχετε ένα αρχείο PEM που πρέπει να μετατραπεί σε CRT, όπως συμβαίνει με το Ubuntu, χρησιμοποιήστε αυτήν την εντολή με το OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
Το OpenSSL υποστηρίζει επίσης τη μετατροπή. PEM σε. P12 (PKCS12, ή Δημόσιο Κλειδί Κρυπτογραφίας Standard 12), αλλά προσθέστε την επέκταση αρχείου ". TXT" στο τέλος του αρχείου πριν εκτελέσετε αυτήν την εντολή:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Δείτε τον παραπάνω σύνδεσμο Stack Overflow σχετικά με τη χρήση του αρχείου PEM με το Java KeyStore, εάν θέλετε να μετατρέψετε το αρχείο σε JKS, ή αυτό το σεμινάριο από την Oracle για να εισαγάγετε το αρχείο στο Java truststore.
Περισσότερες πληροφορίες για το PEM
Η δυνατότητα ακεραιότητας δεδομένων της μορφής Πιστοποιητικού αλληλογραφίας ενισχυμένου απορρήτου χρησιμοποιεί ανακεφαλαιώσεις μηνυμάτων RSA-MD2 και RSA-MD5 για να συγκρίνει ένα μήνυμα πριν και μετά την αποστολή του, για να διασφαλίσει ότι δεν έχει παραβιαστεί στην πορεία.
Στην αρχή ενός αρχείου PEM υπάρχει μια κεφαλίδα που διαβάζει -----BEGIN [label]-----, και το τέλος των δεδομένων είναι ένα παρόμοιο υποσέλιδο όπως αυτό: ----- ΤΕΛΟΣ [ετικέτα] -----. Η ενότητα "[ετικέτα]" περιγράφει το μήνυμα, επομένως μπορεί να διαβάζει ΙΔΙΩΤΙΚΟ ΚΛΕΙΔΙ, ΑΙΤΗΣΗ ΠΙΣΤΟΠΟΙΗΣΗΣ ή ΠΙΣΤΟΠΟΙΗΤΙΚΟ.
Εδώ είναι ένα παράδειγμα:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Ένα αρχείο PEM μπορεί να περιέχει πολλά πιστοποιητικά, οπότε οι ενότητες "END" και "BEGIN" γειτονεύουν μεταξύ τους.
Ακόμα δεν μπορώ να ανοίξω το αρχείο;
Ένας λόγος που το αρχείο σας δεν ανοίγει με κανέναν από τους τρόπους που περιγράφονται παραπάνω είναι ότι στην πραγματικότητα δεν έχετε να κάνετε με ένα αρχείο PEM. Ενδέχεται να έχετε ένα αρχείο που χρησιμοποιεί απλώς μια επέκταση αρχείου με παρόμοια γραφή. Όταν συμβαίνει αυτό, δεν είναι απαραίτητο τα δύο αρχεία να σχετίζονται ή να λειτουργούν με τα ίδια προγράμματα λογισμικού.
Για παράδειγμα, το PEF μοιάζει πολύ με το PEM, αλλά αντ' αυτού ανήκει είτε στη μορφή αρχείου Pentax Raw Image είτε στη μορφή Portable Embosser. Ακολουθήστε αυτόν τον σύνδεσμο για να δείτε πώς μπορείτε να ανοίξετε ή να μετατρέψετε αρχεία PEF, αν αυτό είναι που πραγματικά έχετε.
Το ίδιο θα μπορούσαμε να πούμε για πολλές άλλες επεκτάσεις αρχείων όπως EPM, EMP, EPP, PES, PET…καταλαβαίνετε. Απλώς ελέγξτε ξανά την επέκταση αρχείου για να δείτε ότι όντως διαβάζει ".pem" προτού σκεφτείτε ότι οι παραπάνω μέθοδοι δεν λειτουργούν.
Εάν έχετε να κάνετε με ένα αρχείο KEY, να γνωρίζετε ότι δεν ανήκουν όλα τα αρχεία που τελειώνουν σε. KEY στη μορφή που περιγράφεται σε αυτήν τη σελίδα. Αντίθετα, ενδέχεται να είναι αρχεία κλειδιού άδειας χρήσης λογισμικού που χρησιμοποιούνται κατά την εγγραφή προγραμμάτων λογισμικού όπως το LightWave ή τα αρχεία Keynote Presentation που δημιουργούνται από το Apple Keynote.
Συχνές Ερωτήσεις
Πώς δημιουργώ ένα αρχείο PEM;
Το πρώτο βήμα για τη δημιουργία ενός αρχείου PEM είναι να πραγματοποιήσετε λήψη των πιστοποιητικών που σας έστειλε η αρχή έκδοσης πιστοποιητικών. Αυτό θα περιλαμβάνει ένα ενδιάμεσο πιστοποιητικό, ένα πιστοποιητικό ρίζας, ένα πρωτεύον πιστοποιητικό και αρχεία ιδιωτικού κλειδιού.
Στη συνέχεια, ανοίξτε ένα πρόγραμμα επεξεργασίας κειμένου, όπως το WordPad ή το Σημειωματάριο, και επικολλήστε το σώμα κάθε πιστοποιητικού σε ένα νέο αρχείο κειμένου. Θα πρέπει να είναι με αυτή τη σειρά: Ιδιωτικό κλειδί, Κύριο πιστοποιητικό, Ενδιάμεσο πιστοποιητικό, Πιστοποιητικό ρίζας. Προσθέστε ετικέτες έναρξης και λήξης. Θα φαίνονται κάπως έτσι:
Τέλος, αποθηκεύστε το αρχείο ως your_domain.pem.
Είναι ένα αρχείο PEM το ίδιο πράγμα με ένα αρχείο CRT;
Όχι. Τα αρχεία PEM και CRT σχετίζονται. Και οι δύο τύποι αρχείων αντιπροσωπεύουν διαφορετικές πτυχές της διαδικασίας δημιουργίας και επαλήθευσης κλειδιού. Τα αρχεία PEM είναι δοχεία που προορίζονται για την επαλήθευση και την αποκρυπτογράφηση δεδομένων που στέλνει ένας διακομιστής. Ένα αρχείο CRT (που σημαίνει πιστοποιητικό) αντιπροσωπεύει ένα αίτημα υπογραφής πιστοποιητικού. Τα αρχεία CRT είναι ένας τρόπος επαλήθευσης της ιδιοκτησίας χωρίς πρόσβαση στο ιδιωτικό κλειδί. Τα αρχεία CRT περιέχουν το δημόσιο κλειδί μαζί με πολλές περισσότερες πληροφορίες.