Điều cần biết
- Tệp PEM là tệp Chứng chỉ Thư Nâng cao Bảo mật.
- Mở một chương trình hoặc hệ điều hành yêu cầu tệp (tất cả chúng đều hoạt động hơi khác một chút).
- Chuyển đổi sang PPK, PFX hoặc CRT bằng lệnh hoặc trình chuyển đổi đặc biệt.
Bài viết này giải thích các tệp PEM được sử dụng để làm gì, cách mở một tệp tùy thuộc vào chương trình hoặc hệ điều hành bạn đang sử dụng và cách chuyển đổi tệp này sang định dạng tệp chứng chỉ khác.
Tệp PEM là gì?
Tệp PEM là tệp Chứng chỉ Thư Nâng cao Bảo mật được sử dụng để truyền email một cách riêng tư. Người nhận được email này có thể tin tưởng rằng thư không bị thay đổi trong quá trình truyền, không được hiển thị cho bất kỳ ai khác và được gửi bởi người tuyên bố đã gửi.
Tệp PEM phát sinh từ sự phức tạp của việc gửi dữ liệu nhị phân qua email. Định dạng PEM mã hóa nhị phân với base64 để nó tồn tại dưới dạng chuỗi ASCII.
Định dạng PEM đã được thay thế bằng các công nghệ mới hơn và an toàn hơn, nhưng vùng chứa PEM vẫn được sử dụng ngày nay để giữ các tệp của tổ chức phát hành chứng chỉ, khóa công khai và riêng tư, chứng chỉ gốc, v.v.
Thay vào đó, một số tệp ở định dạng PEM có thể sử dụng phần mở rộng tệp khác, như CER hoặc CRT cho chứng chỉ hoặc KEY cho khóa công khai hoặc riêng tư.
Cách mở tệp PEM
Các bước để mở tệp PEM khác nhau tùy thuộc vào ứng dụng cần tệp đó và hệ điều hành bạn đang sử dụng. Tuy nhiên, bạn có thể cần phải chuyển đổi tệp PEM của mình sang CER hoặc CRT để một số chương trình này chấp nhận tệp.
Windows
Nếu bạn cần tệp CER hoặc CRT trong ứng dụng email khách của Microsoft như Outlook, hãy mở tệp đó trong Internet Explorer để tệp tự động được tải vào cơ sở dữ liệu thích hợp. Ứng dụng email khách có thể tự động sử dụng nó từ đó.
Microsoft không còn hỗ trợ Internet Explorer nữa và khuyên bạn nên cập nhật lên trình duyệt Edge mới hơn. Truy cập trang web của họ để tải xuống phiên bản mới nhất.
Để xem các tệp chứng chỉ nào được tải vào máy tính của bạn và để nhập các tệp đó theo cách thủ công, hãy sử dụng trình đơn Toolscủa Internet Explorer để truy cập Internet Options> Nội dung> Chứng chỉ, như thế này:
Để nhập tệp CER hoặc CRT vào Windows, hãy bắt đầu bằng cách mở Microsoft Management Console từ hộp thoại Run (sử dụng phím tắt Windows Key + R để nhập mmc ). Từ đó, đi tớiFile > Thêm / Xóa Snap-in… và chọnChứng chỉ từ cột bên trái, sau đó chọnThêm nút > ở giữa cửa sổ.
Chọn Tài khoản máy tínhtrên màn hình sau, sau đó di chuyển qua trình hướng dẫn, chọn Máy tính cục bộkhi được hỏi. Sau khi "Chứng chỉ" được tải trong "Gốc bảng điều khiển", hãy mở rộng thư mục và nhấp chuột phải vào Tổ chức phát hành chứng chỉ gốc đáng tin cậyvà chọn Tất cả nhiệm vụ> Nhập
macOS
Khái niệm tương tự đối với ứng dụng email khách Mac của bạn cũng như đối với ứng dụng Windows: sử dụng Safari để nhập tệp PEM vào Keychain Access.
Bạn cũng có thể nhập chứng chỉ SSL thông qua trình đơn File> Import Itemstrong Keychain Access. Chọn Hệ thốngtừ menu thả xuống, sau đó làm theo lời nhắc trên màn hình.
Nếu các phương pháp này không hoạt động để nhập tệp PEM vào macOS, bạn có thể thử lệnh sau (thay đổi "yourfile.pem" thành tên và vị trí của tệp PEM cụ thể của bạn):
security import yourfile.pem -k ~ / Library / Keychains / login.keychain
Linux
Sử dụng lệnh keytool này để xem nội dung của tệp PEM trên Linux:
keytool -printcert -file yourfile.pem
Làm theo các bước sau nếu bạn muốn nhập tệp CRT vào kho lưu trữ tổ chức phát hành chứng chỉ đáng tin cậy của Linux (xem phương pháp chuyển đổi PEM sang CRT trong phần tiếp theo bên dưới nếu bạn có tệp PEM thay thế):
- Điều hướng đến / usr / share / ca-Certificates /.
- Tạo một thư mục ở đó (ví dụ: sudo mkdir /usr/share/ca-certificates/work).
- Sao chép tệp. CRT vào thư mục mới tạo đó. Nếu bạn không muốn làm điều đó theo cách thủ công, bạn có thể sử dụng lệnh này thay thế: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Đảm bảo các quyền được đặt chính xác (755 cho thư mục và 644 cho tệp).
- Chạy lệnh sudo update-ca-Certificates.
Firefox và Thunderbird
Nếu tệp PEM cần nhập vào ứng dụng email Mozilla như Thunderbird, trước tiên bạn có thể phải xuất tệp PEM ra khỏi Firefox. Mở menu Firefox và chọn Options Đi tới Privacy & Securityvà tìm phần Security, sau đó sử dụng nút Xem chứng chỉ… để mở danh sách, từ đó bạn có thể chọn danh sách bạn cần xuất. Sử dụng tùy chọn Backup…để lưu nó.
Sau đó, trong Thunderbird, mở menu và nhấp hoặc nhấn vào Tùy chọn Điều hướng đến Nâng cao> Chứng chỉ >Quản lý chứng chỉ >Chứng chỉ của bạn >Nhập Từ phần "Tên tệp:" của cửa sổ Nhập, chọnTệp Chứng chỉ từ trình đơn thả xuống, sau đó tìm và mở tệp PEM.
Để nhập tệp PEM vào Firefox, chỉ cần làm theo các bước tương tự như bạn sẽ xuất tệp, nhưng chọn Nhậpthay vì nút Sao lưu…. Nếu bạn không thể tìm thấy tệp PEM, hãy đảm bảo vùng "Tên tệp" của hộp thoại được đặt thành Tệp chứng chỉchứ không phải PKCS12 Tệp
Java KeyStore
Stack Overflow có một chủ đề về việc nhập tệp PEM vào Java KeyStore (JKS) nếu bạn cần làm điều đó. Một tùy chọn khác có thể hiệu quả là sử dụng công cụ keyutil này.
Cách chuyển đổi tệp PEM
Không giống như hầu hết các định dạng tệp có thể được chuyển đổi bằng công cụ chuyển đổi tệp hoặc trang web, bạn cần nhập các lệnh đặc biệt đối với một chương trình cụ thể để chuyển đổi định dạng tệp PEM sang hầu hết các định dạng khác.
Chuyển đổi PEM sang PPK với PuTTYGen. Chọn Loadtừ phía bên phải của chương trình, đặt loại tệp là bất kỳ tệp nào (.), Sau đó duyệt và mở tệp PEM của bạn. Chọn Lưu khóa riêngđể tạo tệp PPK.
Với OpenSSL (lấy phiên bản Windows tại đây), bạn có thể chuyển đổi tệp PEM thành PFX bằng lệnh sau:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export-out yourfile.pfx
Nếu bạn có tệp PEM cần được chuyển đổi sang CRT, giống như trường hợp của Ubuntu, hãy sử dụng lệnh này với OpenSSL:
openssl x509 -in yourfile.pem -inform PEM-out yourfile.crt
OpenSSL cũng hỗ trợ chuyển đổi. PEM thành. P12 (PKCS12 hoặc Public Key Cryptography Standard12), nhưng hãy thêm phần mở rộng tệp ". TXT" vào cuối tệp trước khi chạy lệnh này:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt-out yourfile.p12
Xem liên kết Stack Overflow ở trên về cách sử dụng tệp PEM với Java KeyStore nếu bạn muốn chuyển đổi tệp sang JKS hoặc hướng dẫn này từ Oracle để nhập tệp vào kho tin cậy Java.
Thông tin thêm về PEM
Tính năng toàn vẹn dữ liệu của định dạng Chứng chỉ Thư Nâng cao Quyền riêng tư sử dụng phân tích thư RSA-MD2 và RSA-MD5 để so sánh một thư trước và sau khi được gửi, để đảm bảo rằng thư đó không bị giả mạo trong suốt quá trình.
Ở đầu tệp PEM là tiêu đề có nội dung ----- BEGIN [nhãn] ----- và cuối dữ liệu là chân trang tương tự như sau: ----- HẾT [nhãn] -----. Phần "[label]" mô tả thông báo, vì vậy nó có thể đọc KHÓA RIÊNG TƯ, YÊU CẦU CHỨNG NHẬN hoặc CHỨNG NHẬN.
Đây là một ví dụ:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Một tệp PEM có thể chứa nhiều chứng chỉ, trong trường hợp này phần "KẾT THÚC" và "BẮT ĐẦU" là hàng xóm của nhau.
Vẫn không thể mở tệp?
Một lý do khiến tệp của bạn không mở theo bất kỳ cách nào được mô tả ở trên là bạn không thực sự xử lý tệp PEM. Thay vào đó, bạn có thể có một tệp chỉ sử dụng phần mở rộng tệp được đánh vần tương tự. Trong trường hợp đó, không cần thiết phải liên quan đến hai tệp hoặc để chúng hoạt động với các chương trình phần mềm giống nhau.
Ví dụ: PEF trông rất giống PEM nhưng thay vào đó thuộc về định dạng tệp Pentax Raw Image hoặc Định dạng Embosser di động. Nhấp vào liên kết đó để xem cách mở hoặc chuyển đổi tệp PEF, nếu đó là những gì bạn thực sự có.
Cũng có thể nói như vậy đối với nhiều phần mở rộng tệp khác như EPM, EMP, EPP, PES, PET… bạn có thể hiểu được. Chỉ cần kiểm tra kỹ phần mở rộng tệp để biết rằng nó thực sự đọc ".pem" trước khi xem xét rằng các phương pháp trên không hoạt động.
Nếu bạn đang xử lý tệp KEY, hãy lưu ý rằng không phải tất cả các tệp kết thúc bằng. KEY đều thuộc định dạng được mô tả trên trang này. Thay vào đó, chúng có thể là các tệp Key License Key được sử dụng khi đăng ký các chương trình phần mềm như LightWave hoặc các tệp Keynote Presentation do Apple Keynote tạo.
FAQ
Làm cách nào để tạo tệp PEM?
Bước đầu tiên để tạo tệp PEM là tải xuống các chứng chỉ mà cơ quan cấp chứng chỉ của bạn đã gửi cho bạn. Điều này sẽ bao gồm chứng chỉ trung gian, chứng chỉ gốc, chứng chỉ chính và các tệp khóa cá nhân.
Tiếp theo, mở một trình soạn thảo văn bản, chẳng hạn như WordPad hoặc Notepad, và dán nội dung của mỗi chứng chỉ vào một tệp văn bản mới. Chúng phải theo thứ tự sau: Khóa riêng, Chứng chỉ chính, Chứng chỉ trung gian, Chứng chỉ gốc. Thêm thẻ bắt đầu và thẻ kết thúc. Chúng sẽ trông như thế này:
Cuối cùng, lưu tệp thành your_domain.pem.
Tệp PEM có giống với tệp CRT không?
Không. Các tệp PEM và CRT có liên quan; cả hai loại tệp đại diện cho các khía cạnh khác nhau của quá trình xác minh và tạo khóa. Tệp PEM là vùng chứa dùng để xác minh và giải mã dữ liệu mà máy chủ gửi. Tệp CRT (viết tắt của chứng chỉ) đại diện cho một yêu cầu ký chứng chỉ. Tệp CRT là một cách để xác minh quyền sở hữu mà không cần quyền truy cập khóa cá nhân. Tệp CRT chứa khóa công khai cùng với nhiều thông tin hơn.
