מה צריך לדעת
- קובץ PEM הוא קובץ אישור דואר משופר בפרטיות.
- פתח אחד עם התוכנית או מערכת ההפעלה שדורשת את הקובץ (כולם עובדים קצת אחרת).
- המר ל-PPK, PFX או CRT עם פקודה או ממיר מיוחד.
מאמר זה מסביר למה קובצי PEM משמשים, כיצד לפתוח אחד בהתאם לתוכנית או למערכת ההפעלה שבה אתה משתמש, וכיצד להמיר אחד לפורמט קובץ אישור אחר.
מהו קובץ PEM?
קובץ PEM הוא קובץ אישור דואר משופר בפרטיות המשמש להעברת דוא ל באופן פרטי. האדם שמקבל את האימייל הזה יכול להיות בטוח שההודעה לא שונתה במהלך שידורה, לא הוצגה לאף אחד אחר ונשלחה על ידי האדם שטוען ששלח אותה.
קובצי PEM נוצרו מהסיבוך של שליחת נתונים בינאריים בדוא ל. פורמט PEM מקודד בינארי עם base64 כך שהוא קיים כמחרוזת ASCII.
פורמט ה-PEM הוחלף בטכנולוגיות חדשות ומאובטחות יותר, אך מיכל ה-PEM משמש עד היום כדי להחזיק קבצי רשות אישורים, מפתחות ציבוריים ופרטיים, אישורי בסיס וכו'.
חלק מהקבצים בפורמט PEM עשויים להשתמש בסיומת קובץ אחרת, כמו CER או CRT עבור אישורים, או KEY עבור מפתחות ציבוריים או פרטיים.
איך פותחים קבצי PEM
השלבים לפתיחת קובץ PEM שונים בהתאם ליישום שזקוק לו ולמערכת ההפעלה שבה אתה משתמש. עם זאת, ייתכן שיהיה עליך להמיר את קובץ ה-PEM שלך ל-CER או CRT כדי שחלק מהתוכניות הללו יקבלו את הקובץ.
Windows
אם אתה צריך את קובץ ה-CER או ה-CRT בלקוח דוא"ל של Microsoft כמו Outlook, פתח אותו ב-Internet Explorer כדי שהוא ייטען אוטומטית למסד הנתונים המתאים. לקוח הדוא"ל יכול להשתמש בו אוטומטית משם.
Microsoft כבר לא תומכת ב-Internet Explorer וממליצה לעדכן לדפדפן Edge החדש יותר. עבור לאתר שלהם כדי להוריד את הגרסה החדשה ביותר.
כדי לראות אילו קבצי אישור נטענים למחשב שלך, וכדי לייבא קבצי אישורים באופן ידני, השתמש בתפריט כלים של Internet Explorer כדי לגשת ל- אפשרויות אינטרנט> תוכן > Certificates, כמו זה:
כדי לייבא קובץ CER או CRT ל-Windows, התחל בפתיחת Microsoft Management Console מתיבת הדו-שיח הפעלה (השתמש במקש Windows + R כדי להזיןmmc ). משם, עבור אל קובץ > הוסף/הסרה של Snap-in… ובחר Certificates מהעמודה השמאלית, ולאחר מכן הוסף כפתור > במרכז החלון.
בחר חשבון מחשב במסך הבא, ולאחר מכן עבור דרך האשף, ובחר מחשב מקומי כשתתבקש.לאחר טעינת "אישורים" תחת "שורש מסוף, " הרחב את התיקיה ולחץ באמצעות לחצן העכבר הימני על Trusted Root Certification Authorities, ובחר All Tasks > ייבוא
macOS
אותו רעיון נכון עבור לקוח הדוא ל שלך ב-Mac כמו עבור לקוח של Windows: השתמש ב-Safari כדי לייבא את קובץ ה-PEM לתוך Keychain Access.
אתה יכול גם לייבא אישורי SSL דרך התפריט File > ייבוא פריטים בתפריט Keychain Access. בחר System מהתפריט הנפתח ולאחר מכן עקוב אחר ההנחיות שעל המסך.
אם השיטות האלה לא עובדות לייבוא קובץ PEM ל-macOS, תוכל לנסות את הפקודה הבאה (שנה את "yourfile.pem" להיות השם והמיקום של קובץ ה-PEM הספציפי שלך):
security import yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
השתמש בפקודת keytool זו כדי להציג את התוכן של קובץ PEM ב-Linux:
keytool -printcert -file yourfile.pem
בצע את השלבים הבאים אם ברצונך לייבא קובץ CRT למאגר רשות האישורים המהימן של לינוקס (ראה את שיטת ההמרה PEM ל-CRT בסעיף הבא למטה אם יש לך קובץ PEM במקום זאת):
נווט אל /usr/share/ca-certificates/.
- צור שם תיקיה (לדוגמה, sudo mkdir /usr/share/ca-certificates/work).
- העתק את קובץ ה-CRT לתוך התיקיה החדשה שנוצרה. אם אתה מעדיף לא לעשות זאת ידנית, תוכל להשתמש בפקודה הזו במקום זאת: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- וודא שההרשאות מוגדרות כהלכה (755 עבור התיקיה ו-644 עבור הקובץ).
- הפעל את הפקודה sudo update-ca-certificates.
Firefox ו-Thunderbird
אם צריך לייבא את קובץ ה-PEM ללקוח דוא ל של Mozilla כמו Thunderbird, ייתכן שיהיה עליך לייצא תחילה את קובץ ה-PEM מתוך Firefox. פתח את תפריט Firefox ובחר Options עבור אל פרטיות ואבטחה ומצא את הקטע Security, ולאחר מכן השתמש בלחצן View Certificates… כדי לפתוח רשימה, ממנה תוכל לבחור את האחת שאתה צריך לייצא. השתמש באפשרות Backup… כדי לשמור אותו.
לאחר מכן, ב-Thunderbird, פתח את התפריט ולחץ או הקש על Options נווט אל Advanced > Certificates> נהל אישורים > Your Certificates > ייבוא מהקטע "שם קובץ:" של בחלון הייבוא, בחר Certificate Files מהתפריט הנפתח, ולאחר מכן מצא ופתח את קובץ ה-PEM.
כדי לייבא את קובץ ה-PEM ל-Firefox, פשוט בצע את אותם השלבים כדי לייצא אחד, אך בחר Import במקום כפתור הגיבוי…. אם אינך מוצא את קובץ ה-PEM, ודא שאזור "שם הקובץ" של תיבת הדו-שיח מוגדר ל- Certificate Files ולא ל- PKCS12 Files
Java KeyStore
Stack Overflow יש שרשור על ייבוא קובץ PEM ל-Java KeyStore (JKS) אם אתה צריך לעשות זאת. אפשרות נוספת שעשויה לעבוד היא להשתמש בכלי keyutil זה.
איך להמיר קובץ PEM
בניגוד לרוב פורמטי הקבצים שניתן להמיר בכלי המרת קבצים או אתר אינטרנט, עליך להזין פקודות מיוחדות כנגד תוכנית מסוימת כדי להמיר את פורמט הקובץ PEM לרוב הפורמטים האחרים.
המר PEM ל-PPK עם PuTTYGen. בחר Load מהצד הימני של התוכנית, הגדר את סוג הקובץ להיות כל קובץ (.), ולאחר מכן חפש ופתח את קובץ ה-PEM שלך. בחר שמור מפתח פרטי כדי ליצור את קובץ ה-PPK.
עם OpenSSL (קבל את גרסת Windows כאן), אתה יכול להמיר את קובץ PEM ל-PFX עם הפקודה הבאה:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
אם יש לך קובץ PEM שצריך להמיר ל-CRT, כמו במקרה של אובונטו, השתמש בפקודה זו עם OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
OpenSSL תומך גם בהמרת. PEM ל-. P12 (PKCS12, או Public Key Cryptography Standard 12), אך הוסף את סיומת הקובץ ". TXT" בסוף הקובץ לפני הפעלת הפקודה הזו:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
ראה את הקישור של Stack Overflow למעלה לגבי השימוש בקובץ PEM עם Java KeyStore אם ברצונך להמיר את הקובץ ל-JKS, או מדריך זה מ-Oracle כדי לייבא את הקובץ ל-Java Truststore.
מידע נוסף על PEM
תכונת שלמות הנתונים של פורמט Privacy Enhanced Mail Certificate משתמשת בתמצית הודעות RSA-MD2 ו-RSA-MD5 כדי להשוות הודעה לפני ואחרי שליחתה, כדי להבטיח שלא טופלה בה לאורך הדרך.
בתחילת קובץ PEM יש כותרת שקוראת -----BEGIN [תווית]-----, וסוף הנתונים הוא כותרת תחתונה דומה כמו זה: ----- END [תווית] -----. הקטע "[תווית]" מתאר את ההודעה, ולכן עשוי להיות כתוב PRIVATE KEY, CERTIFICATE REQUEST או CERTIFICATE.
הנה דוגמה:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
קובץ PEM אחד יכול להכיל אישורים מרובים, ובמקרה זה הקטע "END" ו-"BEGIN" שכנים זה לזה.
עדיין לא מצליח לפתוח את הקובץ?
סיבה אחת שהקובץ שלך לא נפתח באף אחת מהדרכים שתוארו לעיל היא שאתה לא עוסק בפועל בקובץ PEM. ייתכן שבמקום זאת יש לך קובץ שפשוט משתמש בסיומת קובץ מאוית דומה. כאשר זה המקרה, אין צורך ששני הקבצים יהיו קשורים או שהם יעבדו עם אותן תוכנות.
לדוגמה, PEF נראה מאוד כמו PEM אבל במקום זאת שייך לפורמט הקובץ Pentax Raw Image או Portable Embosser Format. עקוב אחר הקישור הזה כדי לראות כיצד לפתוח או להמיר קובצי PEF, אם זה מה שבאמת יש לך.
ניתן לומר את אותו הדבר לגבי סיומות קבצים רבות אחרות כמו EPM, EMP, EPP, PES, PET…הבנתם את הרעיון. פשוט בדוק שוב את סיומת הקובץ כדי לראות שהוא באמת קורא ".pem" לפני שתחשוב שהשיטות שלמעלה לא עובדות.
אם אתה מתמודד עם קובץ KEY, שים לב שלא כל הקבצים המסתיימים ב-. KEY שייכים לפורמט המתואר בדף זה. הם עשויים במקום זאת להיות קובצי מפתח רישיון תוכנה המשמשים בעת רישום תוכנות כמו LightWave, או קבצי Keynote Presentation שנוצרו על ידי Apple Keynote.
שאלות נפוצות
איך אני יוצר קובץ PEM?
השלב הראשון לקראת יצירת קובץ PEM הוא להוריד את האישורים שרשות האישורים שלחה לך. זה יכלול אישור ביניים, אישור בסיס, אישור ראשי וקובצי מפתח פרטי.
לאחר מכן, פתח עורך טקסט, כגון WordPad או Notepad, והדבק את גוף כל תעודה בקובץ טקסט חדש. הם צריכים להיות בסדר הזה: מפתח פרטי, תעודה ראשית, תעודת ביניים, תעודת שורש. הוסף תגי התחלה וסיום. הם ייראו כך:
לבסוף, שמור את הקובץ בתור your_domain.pem.
האם קובץ PEM זהה לקובץ CRT?
לא. קבצי PEM ו-CRT קשורים זה לזה; שני סוגי הקבצים מייצגים היבטים שונים של תהליך היצירה והאימות של המפתח. קבצי PEM הם מיכלים שנועדו לאמת ולפענח נתונים ששרת שולח. קובץ CRT (שמייצג תעודה) מייצג בקשת חתימה על תעודה. קובצי CRT הם דרך לאמת בעלות ללא גישה למפתח פרטי. קובצי CRT מכילים את המפתח הציבורי יחד עם מידע רב יותר.
