Hvad du skal vide
- En PEM-fil er en Privacy Enhanced Mail Certificate-fil.
- Åbn en med programmet eller operativsystemet, der kræver filen (de fungerer alle lidt forskelligt).
- Konverter til PPK, PFX eller CRT med en kommando eller speciel konverter.
Denne artikel forklarer, hvad PEM-filer bruges til, hvordan man åbner en afhængigt af det program eller OS, du bruger, og hvordan man konverterer en til et andet certifikatfilformat.
Hvad er en PEM-fil?
En PEM-fil er en Privacy Enhanced Mail Certificate-fil, der bruges til privat transmission af e-mail. Den person, der modtager denne e-mail, kan være sikker på, at meddelelsen ikke blev ændret under dens transmission, ikke blev vist til andre og blev sendt af den person, der hævder at have sendt den.
PEM-filer opstod som følge af komplikationen ved at sende binære data via e-mail. PEM-formatet koder binært med base64, så det eksisterer som en ASCII-streng.
PEM-formatet er blevet erstattet af nyere og mere sikre teknologier, men PEM-beholderen bruges stadig i dag til at opbevare certifikatmyndighedsfiler, offentlige og private nøgler, rodcertifikater osv.
Nogle filer i PEM-formatet kan i stedet bruge en anden filtypenavn, såsom CER eller CRT for certifikater, eller KEY for offentlige eller private nøgler.
Sådan åbnes PEM-filer
Trinnene til at åbne en PEM-fil er forskellige afhængigt af den applikation, der har brug for den, og det operativsystem, du bruger. Du skal dog muligvis konvertere din PEM-fil til CER eller CRT, for at nogle af disse programmer kan acceptere filen.
Windows
Hvis du har brug for CER- eller CRT-filen i en Microsoft-e-mail-klient som Outlook, skal du åbne den i Internet Explorer for at få den automatisk indlæst i den korrekte database. E-mail-klienten kan automatisk bruge den derfra.
Microsoft understøtter ikke længere Internet Explorer og anbefaler, at du opdaterer til den nyere Edge-browser. Gå til deres websted for at downloade den nyeste version.
For at se, hvilke certifikatfiler der er indlæst på din computer, og for at importere dem manuelt, skal du bruge Internet Explorers Tools-menu for at få adgang til Internetindstillinger> Indhold > Certifikater, sådan her:
For at importere en CER- eller CRT-fil til Windows skal du starte med at åbne Microsoft Management Console fra Kør-dialogboksen (brug Windows-tasten + R for at indtastemmc ). Derfra skal du gå til Fil > Tilføj/fjern snap-in… og vælg Certificates fra venstre kolonne, og derefter Tilføj > knap i midten af vinduet.
Vælg Computerkonto på følgende skærmbillede, og gå derefter gennem guiden, og vælg Lokal computer, når du bliver bedt om det. Når "Certifikater" er indlæst under "Konsolrod", skal du udvide mappen og højreklikke på Trusted Root Certification Authorities, og vælge Alle opgaver > Import
macOS
Det samme koncept gælder for din Mac-e-mail-klient, som det er for en Windows-klient: Brug Safari til at få PEM-filen importeret til Keychain Access.
Du kan også importere SSL-certifikater gennem menuen File > Import Items i Keychain Access. Vælg System fra rullemenuen, og følg derefter vejledningen på skærmen.
Hvis disse metoder ikke virker til at importere PEM-filen til macOS, kan du prøve følgende kommando (ændre "dinfil.pem" til at være navnet og placeringen af din specifikke PEM-fil):
sikkerhedsimport yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Brug denne keytool-kommando til at se indholdet af en PEM-fil på Linux:
keytool -printcert -file yourfile.pem
Følg disse trin, hvis du vil importere en CRT-fil til Linux's betroede certifikatmyndigheds-lager (se PEM til CRT-konverteringsmetoden i næste afsnit nedenfor, hvis du har en PEM-fil i stedet):
- Naviger til /usr/share/ca-certificates/.
- Opret en mappe der (f.eks. sudo mkdir /usr/share/ca-certificates/work).
- Kopiér. CRT-filen til den nyoprettede mappe. Hvis du hellere ikke vil gøre det manuelt, kan du bruge denne kommando i stedet: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Sørg for, at tilladelserne er indstillet korrekt (755 for mappen og 644 for filen).
- Kør kommandoen sudo update-ca-certificates.
Firefox og Thunderbird
Hvis PEM-filen skal importeres til en Mozilla-e-mail-klient som Thunderbird, skal du muligvis først eksportere PEM-filen ud af Firefox. Åbn Firefox-menuen, og vælg Options Gå til Privacy & Security, og find Security-sektionen, og derefter brug View Certificates… knappen for at åbne en liste, hvorfra du kan vælge den, du skal eksportere. Brug Backup… mulighed for at gemme det.
Åbn derefter menuen i Thunderbird, og klik eller tryk på Options Naviger til Advanced > Certifikater> Administrer certifikater > Dine certifikater > Import Fra afsnittet "Filnavn:" i i vinduet Import, vælg Certificate Files fra rullemenuen, og find og åbn derefter PEM-filen.
For at importere PEM-filen til Firefox skal du blot følge de samme trin, som du ville for at eksportere en, men vælg Import i stedet for knappen Backup…. Hvis du ikke kan finde PEM-filen, skal du sørge for, at "Filnavn"-området i dialogboksen er indstillet til Certificate Files og ikke PKCS12 Files
Java KeyStore
Stack Overflow har en tråd om at importere en PEM-fil til Java KeyStore (JKS), hvis du skal gøre det. En anden mulighed, der måske virker, er at bruge dette nøgleudviklværktøj.
Sådan konverteres en PEM-fil
I modsætning til de fleste filformater, der kan konverteres med et filkonverteringsværktøj eller websted, skal du indtaste specielle kommandoer mod et bestemt program for at konvertere PEM-filformatet til de fleste andre formater.
Konverter PEM til PPK med PuTTYGen. Vælg Load fra højre side af programmet, indstil filtypen til at være en hvilken som helst fil (.), og søg derefter efter og åbn din PEM-fil. Vælg Gem privat nøgle for at lave PPK-filen.
Med OpenSSL (hent Windows-versionen her), kan du konvertere PEM-filen til PFX med følgende kommando:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Hvis du har en PEM-fil, der skal konverteres til CRT, som det er tilfældet med Ubuntu, skal du bruge denne kommando med OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
OpenSSL understøtter også konvertering af. PEM til. P12 (PKCS12 eller Public Key Cryptography Standard 12), men tilføj filtypen ". TXT" i slutningen af filen, før du kører denne kommando:
openssl pkcs12 -eksport -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Se Stack Overflow-linket ovenfor om brug af PEM-filen med Java KeyStore, hvis du vil konvertere filen til JKS, eller denne vejledning fra Oracle for at importere filen til Java-truststore.
Flere oplysninger om PEM
Dataintegritetsfunktionen i Privacy Enhanced Mail Certificate-formatet bruger RSA-MD2- og RSA-MD5-meddelelsessammenfatninger til at sammenligne en meddelelse før og efter den er sendt, for at sikre, at den ikke er blevet manipuleret undervejs.
I begyndelsen af en PEM-fil er en header, der læser -----BEGIN [label]-----, og slutningen af dataene er en lignende sidefod som denne: ----- END [label] -----. Sektionen "[label]" beskriver meddelelsen, så den kan læse PRIVAT NØGLE, CERTIFIKATANMODNING eller CERTIFIKAT.
Her er et eksempel:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Én PEM-fil kan indeholde flere certifikater, i hvilket tilfælde "END" og "BEGIN" sektionerne naboer til hinanden.
Kan du stadig ikke åbne filen?
En grund til, at din fil ikke åbnes på nogen af de måder, der er beskrevet ovenfor, er, at du faktisk ikke har med en PEM-fil at gøre. Du kan i stedet have en fil, der bare bruger en filtypenavn, der staves på samme måde. Når det er tilfældet, er det ikke nødvendigt, at de to filer er relaterede, eller at de skal fungere med de samme softwareprogrammer.
For eksempel ligner PEF meget PEM, men tilhører i stedet enten Pentax Raw Image-filformatet eller Portable Embosser Format. Følg det link for at se, hvordan du åbner eller konverterer PEF-filer, hvis det er det, du virkelig har.
Det samme kunne siges om mange andre filtypenavne som EPM, EMP, EPP, PES, PET…du forstår. Du skal bare dobbelttjekke filtypenavnet for at se, at den faktisk læser ".pem", før du overvejer, at metoderne ovenfor ikke virker.
Hvis du har at gøre med en KEY-fil, skal du være opmærksom på, at ikke alle filer, der ender på. KEY, hører hjemme i det format, der er beskrevet på denne side. De kan i stedet være softwarelicensnøglefiler, der bruges ved registrering af softwareprogrammer som LightWave eller Keynote-præsentationsfiler oprettet af Apple Keynote.
FAQ
Hvordan opretter jeg en PEM-fil?
Det første skridt mod at oprette en PEM-fil er at downloade de certifikater, som din certifikatmyndighed har sendt til dig. Dette vil omfatte et mellemcertifikat, et rodcertifikat, et primært certifikat og private nøglefiler.
Næste, åbn en teksteditor, såsom WordPad eller Notesblok, og indsæt brødteksten af hvert certifikat i en ny tekstfil. De skal være i denne rækkefølge: Privat nøgle, Primært certifikat, Mellemliggende certifikat, Rodcertifikat. Tilføj start- og sluttags. De kommer til at se sådan ud:
Gem endelig filen som dit_domæne.pem.
Er en PEM-fil det samme som en CRT-fil?
Nej. PEM- og CRT-filer er relaterede; begge filtyper repræsenterer forskellige aspekter af nøglegenerering og verifikationsprocessen. PEM-filer er containere beregnet til at verificere og dekryptere data, som en server sender. En CRT-fil (som står for certifikat) repræsenterer en anmodning om certifikatsignering. CRT-filer er en måde at bekræfte ejerskab på uden privat nøgleadgang. CRT-filer indeholder den offentlige nøgle sammen med meget mere information.