Импорт и экспорт сертификатов

Импорт и экспорт сертификатов позволяют передавать их между компьютерами, восстанавливать из резервных копий, а также использовать на других устройствах, таких как смарт-карты и USB-накопители.

Когда требуется импорт или экспорт сертификатов?

Процедуры импорта и экспорта используются в следующих случаях:

• Импорт сертификатов:
  • Установка сертификата, полученного от другого пользователя.
  • Восстановление сертификата из резервной копии.
• Экспорт сертификатов:
  • Создание резервной копии сертификата.
  • Передача сертификата или связанного с ним ключа для использования на другом компьютере.

Форматы файлов для передачи сертификатов

При передаче сертификатов используются несколько форматов. Выбор формата зависит от требований безопасности и совместимости.

1. Personal Information Exchange (PKCS #12, PFX)

Формат PKCS #12 (Personal Information Exchange, PFX) применяется для передачи сертификатов и их личных ключей между компьютерами, на съёмные носители или смарт-карты.

• Стандартный формат для резервного копирования и восстановления сертификатов.
• Позволяет передавать сертификаты между продуктами Microsoft, IBM и других производителей.
• Для использования формата PKCS #12 поставщик услуг шифрования (CSP) должен поддерживать экспорт ключей.
• Является единственным форматом, поддерживающим экспорт личных ключей.

Важно! Экспорт личного ключа – это потенциальный риск. Если злоумышленник получит доступ к личному ключу, он сможет выдать себя за владельца сертификата.

2. Cryptographic Message Syntax Standard (PKCS #7, P7B)

Формат PKCS #7 используется для передачи сертификатов без личных ключей. Он определяет:

• Общий синтаксис данных.
• Методы шифрования и цифровых подписей.
• Формат для передачи сертификатов и всей цепочки сертификации.

Файлы в этом формате имеют расширение .p7b. Они удобны для передачи сертификатов без личных ключей и часто используются при установке промежуточных и корневых сертификатов.

3. DER Encoded Binary X.509 (.CER)

Формат DER (Distinguished Encoding Rules) представляет собой бинарный формат сертификатов X.509. Используется в системах, отличных от Windows 2000, например:

• Центры сертификации Linux и Unix.
• Некоторые корпоративные серверные решения.

Файлы этого типа имеют расширение .cer.

4. Base64 Encoded X.509 (.CER)

Формат Base64 (PEM-формат) предназначен для хранения сертификатов в виде текстовых файлов. Он применяется в:

• Системах, использующих программное обеспечение Netscape.
• Некоторых облачных сервисах и VPN-сертификатах.

Файлы в формате Base64 также имеют расширение .cer, но содержат текстовое представление сертификата, которое можно просмотреть в любом текстовом редакторе.

Заключение

Импорт и экспорт сертификатов – важная процедура для управления безопасностью в сети. Формат PKCS #12 (PFX) используется для передачи сертификатов с личными ключами, а форматы PKCS #7, DER и Base64 предназначены для обмена сертификатами без ключей. Выбор подходящего формата зависит от требуемой степени безопасности и совместимости с используемыми системами.