Te recomendamos que pruebes esta respuesta en un entorno controlado antes de enviarlo a producción, saludos.
Cada Llave privada tiene un correspondiente Llave pública. El público key se deriva matemáticamente de lo privado key. Estos dos keys, juntos llamados “key par “, se puede utilizar para dos propósitos: Cifrado y Firma. A los efectos de los certificados, la firma es mucho más relevante.
Un certificado es básicamente un público key, que ha sido firmado por el personal privado de otra persona. key. Esto constituye la base de la key infratsucture (PKI), que se explica en los artículos vinculados en la pregunta.
¿Cómo se relacionan los certificados y las claves privadas?
Un certificado es solo un público “elegante” key, que está relacionado con un privado key. Puede hacer lo mismo con un certificado que puede hacer con un key.
Si Bob obtiene el certificado de Alice, puede cifrar un mensaje para Alice. Asimismo, si Alice publica algún dato y lo firma con su key, Bob puede usar el certificado de Alice para ver si realmente es de Alice.
¿Cuáles son todos esos tipos de archivos diferentes?
.pem: A.pemes un formato de archivo de facto llamado Correo con privacidad mejorada. Un archivo PEM puede contener muchas cosas diferentes, como certificados, privados keys, publico keys y muchas otras cosas. Un archivo en formato PEM no dice nada sobre el contenido, al igual que algo que está codificado en Base64 no dice nada sobre el contenido..crt,.cer: Este es otro pseudo-formato que se usa comúnmente para almacenar certificados. Estos pueden estar en formato PEM o DER..p12,.pfx: Son extensiones de archivo intercambiables para el formato PKCS # 12. Técnicamente, PKCS # 12 es el sucesor del formato PFX de Microsoft, pero se han vuelto intercambiables. Los archivos PKCS # 12 son archivos de material criptográfico. Nuevamente, el tipo de material que contiene depende completamente del usuario.
¿¡Esperar lo!?
Sí, .crt, .pem, .pfx y .p12 todos pueden usarse para almacenar certificados, públicos keys y primaria keys. Desde un punto de vista puramente técnico, no se puede saber cuál es el contenido semántico de cualquiera de estos archivos simplemente por su extensión de archivo. Si alguna vez se confunde, no se preocupe, no está solo.
Sin embargo, hay algunas convenciones comunes que se están siguiendo. .p12 y .pfx los archivos son por lo general utilizado para almacenar un certificado junto con el privado key que corresponde a este certificado.
Igualmente, .crt archivos por lo general contener certificados únicos sin ningún privado relacionado key material.
.pem los archivos son comodines. Pueden contener cualquier cosa, y no es raro que se utilicen para todo tipo de propósitos. Afortunadamente, todos son texto sin formato y tienen el prefijo de una manera legible por humanos, como
-----BEGIN CERTIFICATE-----
MIICLDCCAdKgAwIBAgIBADAKBggqhkjOPQQDAjB9MQswCQYDVQQGEwJCRTEPMA0G
A1UEChMGR251VExTMSUwIwYDVQQLExxHbnVUTFMgY2VydGlmaWNhdGUgYXV0aG9y
...
¿Por qué una aplicación no manejaría un .crt archivo si quiere un certificado de cliente?
Un certificado es solo un público keyy, por tanto, por definición pública. Un certificado de cliente no es diferente, solo un certificado key por una persona, máquina u otro “cliente”, que esté firmado por alguna autoridad.
Una aplicación que quiere un certificado de cliente normalmente quiere usar ese certificado para algo, como autenticar al cliente en un servidor. Para ello, se necesita el certificado y el correspondiente key.
Por lo tanto, una aplicación debería escribir “certificado más privado key”, porque el certificado por sí solo no es suficiente para probar la identidad. En realidad, es el key eso lo hace.
El certificado es un contenedor que contiene información sobre el titular / propietario del certificado y público key. Privado key es crudo key material sin ninguna información adicional. Por ejemplo, de privado key no se puede extraer información sobre el propietario del key, o un certificado este privado key está asociado con. El certificado a menudo se llama como certificado publico, porque contiene solo público key e información pública.
Poseer solo el certificado público no prueba la propiedad del certificado. Solo posesión de privado key que está asociado con el público key incrustado en un certificado público puede probar la propiedad del certificado.
Acerca de los tipos de certificados:
-
.crty.pemson literalmente lo mismo. Solo con una codificación diferente utilizada para almacenar la misma información en un archivo..crtes a menudo una copia binaria pura pura del certificado codificado en ASN.1..pemes la misma copia binaria del certificado convertido a base64 string y envuelto por el encabezado y pie de página de PEM. Almacenan solo certificado público. No privado key dentro. Consulte RFC 1421 para obtener más detalles sobre PEM. Puede abrir PEM en cualquier editor de texto, copiar / pegar certificado codificado. Es difícil de hacer con un archivo binario sin formato, que.crta menudo lo es..p12y.pfxson lo mismo. Representan un contenedor PKCS # 12 que es adecuado para almacenar certificados públicos y privados cifrados. key. PFX o P12 utilizan codificación de archivos binarios. Con PFX, puede almacenar varios certificados con asociados privados keys y cadenas de certificados opcionales. Por tanto, es un recipiente.
por qué, por ejemplo, una aplicación que espera un “certificado de cliente” explota cuando le da un archivo .crt.
como dije, teniendo solo certificado público (que .crt es) no es suficiente para demostrar la propiedad del certificado. Cuando se utiliza la autenticación de cliente, el cliente debe demostrar que posee el certificado proporcionado y requiere una key para probar esta propiedad. Por lo tanto, la aplicación cliente debe poder acceder a la key asociado con certificado público. Dependiendo de la aplicación del cliente, la plataforma y otras variables, se hace con un .key archivo en una ubicación definida, accediendo a PFX / P12 u otros medios proporcionados por la plataforma (leer certificado y key desde el almacén de certificados en Windows).