Per un singolo certificato, un formato codificato PEM è comune, questo è il testo / base64 delimitato da:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
La maggior parte dei sistemi dovrebbe accettare .crt
e .pem
estensioni per questo tipo di file, il primo è leggermente preferibile per un certificato, anche .cer
può funzionare.
PEM è una codifica di dati che usa base64 per i dati, il formato binario sottostante è denominato Formato DER . I certificati in formato DER vengono spesso denominati con .der
, ma possono essere denominati con .crt
o .cer
.
PEM e DER sono codifiche, talvolta vengono usate le estensioni .der
e .pem
, indipendentemente dal tipo (i) dei dati codificati. A volte l'estensione indica la natura dei dati (certificato, chiave, CRL), ma non la codifica ...
Quando MIME è coinvolto (come sarà con HTTP e allegati e-mail), anche il tipo MIME è una considerazione importante, alcuni client possono fare affidamento su, o preferiscono questo, per determinare l'azione per un file.
Il formato PEM ha delimitatori che indicano la natura dei dati e si presta a "raggruppare" più oggetti codificati PEM in un singolo file. Questo è spesso usato per fornire più certificati correlati, ad es. una catena di CA (ma non tutto elaborerà tutti i certificati in tale file) o una coppia di chiavi / chiavi.
PKCS # 7 o CMS (Cryptographic Message Syntax) è il modo preferito di incapsulare le cose, in pratica è per firmato e / o crittografato messaggi, ma è valido perché non contenga messaggi, solo certificati.
Ti raccomando:
- rendi disponibile il tuo certificato in un file codificato PEM con un'estensione
.crt
- controlla il server web I mapping MIME sono presenti e corretti
- opzionalmente crea e rende disponibile un file
.p7b
contenente la catena CERT e CA, questo consentirà ai client di aggiornare / installare qualsiasi cosa mancante dalla cache CA intermedia locale e abilitare verifica corretta della catena
Diversamente dal PGP e presumibilmente correlato al diverso meccanismo di progettazione e distribuzione, non è comune pubblicare un'impronta digitale del certificato, sebbene sia possibile farlo, e si può anche pubblicare lo SKI (identificatore chiave soggetto) per essere accurato.
Se non hai familiarità con l'uso di OpenSSL, questo sito di riferimento o questo strumento online e il riferimento ai comandi dovrebbero aiutare nella conversione. Non caricare in nessun caso un file .key
o .pfx
; -)