What to Know
- En PEM-fil er en Privacy Enhanced Mail Certificate-fil.
- Åpne en med programmet eller operativsystemet som krever filen (alle fungerer litt annerledes).
- Konverter til PPK, PFX eller CRT med en kommando eller spesiell omformer.
Denne artikkelen forklarer hva PEM-filer brukes til, hvordan du åpner en avhengig av programmet eller operativsystemet du bruker, og hvordan du konverterer en til et annet sertifikatfilformat.
Hva er en PEM-fil?
En PEM-fil er en Privacy Enhanced Mail Certificate-fil som brukes til å sende e-post privat. Personen som mottar denne e-posten kan være sikker på at meldingen ikke ble endret under overføringen, ikke ble vist til noen andre og ble sendt av personen som hevder å ha sendt den.
PEM-filer oppsto på grunn av komplikasjonen med å sende binære data via e-post. PEM-formatet koder binært med base64 slik at det eksisterer som en ASCII-streng.
PEM-formatet har blitt erstattet av nyere og sikrere teknologier, men PEM-beholderen brukes fortsatt i dag til å holde sertifiseringsinstansfiler, offentlige og private nøkler, rotsertifikater osv.
Noen filer i PEM-formatet kan i stedet bruke en annen filtype, som CER eller CRT for sertifikater, eller KEY for offentlige eller private nøkler.
Hvordan åpner du PEM-filer
Trinnene for å åpne en PEM-fil er forskjellige avhengig av applikasjonen som trenger den og operativsystemet du bruker. Det kan imidlertid hende du må konvertere PEM-filen til CER eller CRT for at noen av disse programmene skal godta filen.
Windows
Hvis du trenger CER- eller CRT-filen i en Microsoft e-postklient som Outlook, åpne den i Internet Explorer for å få den automatisk lastet inn i den riktige databasen. E-postklienten kan automatisk bruke den derfra.
Microsoft støtter ikke lenger Internet Explorer og anbefaler at du oppdaterer til den nyere Edge-nettleseren. Gå til nettstedet deres for å laste ned den nyeste versjonen.
For å se hvilke sertifikatfiler som er lastet inn på datamaskinen din, og for å importere dem manuelt, bruk Internet Explorers Tools-meny for å få tilgang til Internett alternativer> Innhold > sertifikater, slik:
For å importere en CER- eller CRT-fil til Windows, start med å åpne Microsoft Management Console fra Kjør-dialogboksen (bruk Windows-tasten + R hurtigtasten for å skrive innmmc ). Derfra går du til Fil > Legg til/fjern snap-in… og velg Certificates fra venstre kolonne, og deretter Legg til >- knappen i midten av vinduet.
Velg Datakonto på følgende skjermbilde, og gå deretter gjennom veiviseren, velg Lokal datamaskin når du blir spurt. Når "Sertifikater" er lastet inn under "Konsollrot", utvider du mappen og høyreklikker Trusted Root Certification Authorities, og velger Alle oppgaver > Import
macOS
Det samme konseptet gjelder for Mac-e-postklienten din som for en Windows-klient: bruk Safari for å få PEM-filen importert til nøkkelringtilgang.
Du kan også importere SSL-sertifikater gjennom File > Import Items-menyen i Keychain Access. Velg System fra rullegardinmenyen, og følg deretter instruksjonene på skjermen.
Hvis disse metodene ikke fungerer for å importere PEM-filen til macOS, kan du prøve følgende kommando (endre "dinfil.pem" til å være navnet og plasseringen til din spesifikke PEM-fil):
sikkerhetsimport yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Bruk denne nøkkelverktøykommandoen for å se innholdet i en PEM-fil på Linux:
keytool -printcert -file yourfile.pem
Følg disse trinnene hvis du vil importere en CRT-fil til Linuxs pålitelige sertifiseringsinstans (se konverteringsmetoden PEM til CRT i neste avsnitt nedenfor hvis du har en PEM-fil i stedet):
- Naviger til /usr/share/ca-certificates/.
- Opprett en mappe der (for eksempel sudo mkdir /usr/share/ca-certificates/work).
- Kopier. CRT-filen til den nyopprettede mappen. Hvis du heller ikke vil gjøre det manuelt, kan du bruke denne kommandoen i stedet: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Sørg for at tillatelsene er riktig satt (755 for mappen og 644 for filen).
- Kjør kommandoen sudo update-ca-certificates.
Firefox og Thunderbird
Hvis PEM-filen må importeres til en Mozilla-e-postklient som Thunderbird, må du kanskje først eksportere PEM-filen ut av Firefox. Åpne Firefox-menyen og velg Options Gå til Personvern og sikkerhet og finn Security-delen, og deretter bruk Se sertifikater…-knappen for å åpne en liste, hvor du kan velge den du vil eksportere. Bruk Backup…- alternativet for å lagre det.
Deretter, i Thunderbird, åpner du menyen og klikker eller trykker på Options Naviger til Advanced > Certificates> Administrer sertifikater > Your Certificates > Import Fra "Filnavn:"-delen av i Import-vinduet, velg Certificate Files fra rullegardinmenyen, og finn og åpne PEM-filen.
For å importere PEM-filen til Firefox, følg bare de samme trinnene du ville gjort for å eksportere en, men velg Import i stedet for Backup…-knappen. Hvis du ikke finner PEM-filen, sørg for at "Filnavn"-området i dialogboksen er satt til Certificate Files og ikke PKCS12 Files
Java KeyStore
Stack Overflow har en tråd om å importere en PEM-fil til Java KeyStore (JKS) hvis du trenger å gjøre det. Et annet alternativ som kan fungere er å bruke dette nøkkelverktøyet.
Hvordan konvertere en PEM-fil
I motsetning til de fleste filformater som kan konverteres med et filkonverteringsverktøy eller nettsted, må du angi spesielle kommandoer mot et bestemt program for å konvertere PEM-filformatet til de fleste andre formater.
Konverter PEM til PPK med PuTTYGen. Velg Load fra høyre side av programmet, sett filtypen til en hvilken som helst fil (.), og bla deretter etter og åpne PEM-filen. Velg Lagre privat nøkkel for å lage PPK-filen.
Med OpenSSL (hent Windows-versjonen her), kan du konvertere PEM-filen til PFX med følgende kommando:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Hvis du har en PEM-fil som må konverteres til CRT, som tilfellet er med Ubuntu, bruk denne kommandoen med OpenSSL:
openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt
OpenSSL støtter også konvertering av. PEM til. P12 (PKCS12, eller Public Key Cryptography Standard 12), men legg til filtypen ". TXT" på slutten av filen før du kjører denne kommandoen:
openssl pkcs12 -eksport -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Se Stack Overflow-lenken ovenfor om bruk av PEM-filen med Java KeyStore hvis du vil konvertere filen til JKS, eller denne opplæringen fra Oracle for å importere filen til Java truststore.
Mer informasjon om PEM
Dataintegritetsfunksjonen til Privacy Enhanced Mail Certificate-formatet bruker RSA-MD2- og RSA-MD5-meldingssammendrag for å sammenligne en melding før og etter at den er sendt, for å sikre at den ikke har blitt tuklet med underveis.
I begynnelsen av en PEM-fil er en overskrift som leser -----BEGIN [label]-----, og slutten av dataene er en lignende bunntekst som denne: ----- END [etikett] -----. "[label]"-delen beskriver meldingen, så den kan lese PRIVAT NØKKEL, CERTIFICATE REQUEST eller CERTIFICATE.
Her er et eksempel:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Én PEM-fil kan inneholde flere sertifikater, i så fall er "END" og "BEGIN"-seksjonene naboer.
Kan du fortsatt ikke åpne filen?
En grunn til at filen din ikke åpnes på noen av måtene som er beskrevet ovenfor, er at du faktisk ikke har å gjøre med en PEM-fil. Du kan i stedet ha en fil som bare bruker en lignende stavet filtype. Når det er tilfelle, er det ikke nødvendig at de to filene er relatert eller at de skal fungere med de samme programmene.
For eksempel ser PEF veldig ut som PEM, men tilhører i stedet enten Pentax Raw Image-filformatet eller Portable Embosser Format. Følg den linken for å se hvordan du åpner eller konverterer PEF-filer, hvis det er det du virkelig har.
Det samme kan sies for mange andre filutvidelser som EPM, EMP, EPP, PES, PET…du skjønner. Bare dobbeltsjekk filtypen for å se at den faktisk leser ".pem" før du vurderer at metodene ovenfor ikke fungerer.
Hvis du har å gjøre med en KEY-fil, vær oppmerksom på at ikke alle filer som slutter på. KEY tilhører formatet beskrevet på denne siden. De kan i stedet være programvarelisensnøkkelfiler som brukes ved registrering av programmer som LightWave, eller Keynote Presentation-filer opprettet av Apple Keynote.
FAQ
Hvordan lager jeg en PEM-fil?
Det første trinnet mot å lage en PEM-fil er å laste ned sertifikatene sertifiseringsmyndigheten sendte deg. Dette vil inkludere et mellomsertifikat, et rotsertifikat, et primærsertifikat og private nøkkelfiler.
Deretter åpner du et tekstredigeringsprogram, for eksempel WordPad eller Notisblokk, og limer inn brødteksten til hvert sertifikat i en ny tekstfil. De skal være i denne rekkefølgen: Privat nøkkel, Primært sertifikat, Mellomsertifikat, Rotsertifikat. Legg til start- og sluttkoder. De vil se slik ut:
Til slutt lagrer du filen som your_domain.pem.
Er en PEM-fil det samme som en CRT-fil?
Nei. PEM- og CRT-filer er relaterte; begge filtypene representerer ulike aspekter ved nøkkelgenererings- og verifiseringsprosessen. PEM-filer er beholdere ment å verifisere og dekryptere data som en server sender. En CRT-fil (som står for sertifikat) representerer en forespørsel om sertifikatsignering. CRT-filer er en måte å bekrefte eierskap uten tilgang til privat nøkkel. CRT-filer inneholder den offentlige nøkkelen sammen med mye mer informasjon.