Импорт и экспорт сертификатов
Импорт и экспорт сертификатов позволяют передавать их между компьютерами, восстанавливать из резервных копий, а также использовать на других устройствах, таких как смарт-карты и USB-накопители.
Когда требуется импорт или экспорт сертификатов?
Процедуры импорта и экспорта используются в следующих случаях:
- Импорт сертификатов:
- Установка сертификата, полученного от другого пользователя.
- Восстановление сертификата из резервной копии.
- Экспорт сертификатов:
- Создание резервной копии сертификата.
- Передача сертификата или связанного с ним ключа для использования на другом компьютере.
Форматы файлов для передачи сертификатов
При передаче сертификатов используются несколько форматов. Выбор формата зависит от требований безопасности и совместимости.
1. Personal Information Exchange (PKCS #12, PFX)
Формат PKCS #12 (Personal Information Exchange, PFX) применяется для передачи сертификатов и их личных ключей между компьютерами, на съёмные носители или смарт-карты.
- Стандартный формат для резервного копирования и восстановления сертификатов.
- Позволяет передавать сертификаты между продуктами Microsoft, IBM и других производителей.
- Для использования формата PKCS #12 поставщик услуг шифрования (CSP) должен поддерживать экспорт ключей.
- Является единственным форматом, поддерживающим экспорт личных ключей.
Важно! Экспорт личного ключа – это потенциальный риск. Если злоумышленник получит доступ к личному ключу, он сможет выдать себя за владельца сертификата.
2. Cryptographic Message Syntax Standard (PKCS #7, P7B)
Формат PKCS #7 используется для передачи сертификатов без личных ключей. Он определяет:
- Общий синтаксис данных.
- Методы шифрования и цифровых подписей.
- Формат для передачи сертификатов и всей цепочки сертификации.
Файлы в этом формате имеют расширение .p7b. Они удобны для передачи сертификатов без личных ключей и часто используются при установке промежуточных и корневых сертификатов.
3. DER Encoded Binary X.509 (.CER)
Формат DER (Distinguished Encoding Rules) представляет собой бинарный формат сертификатов X.509. Используется в системах, отличных от Windows 2000, например:
- Центры сертификации Linux и Unix.
- Некоторые корпоративные серверные решения.
Файлы этого типа имеют расширение .cer.
4. Base64 Encoded X.509 (.CER)
Формат Base64 (PEM-формат) предназначен для хранения сертификатов в виде текстовых файлов. Он применяется в:
- Системах, использующих программное обеспечение Netscape.
- Некоторых облачных сервисах и VPN-сертификатах.
Файлы в формате Base64 также имеют расширение .cer, но содержат текстовое представление сертификата, которое можно просмотреть в любом текстовом редакторе.
Заключение
Импорт и экспорт сертификатов – важная процедура для управления безопасностью в сети. Формат PKCS #12 (PFX) используется для передачи сертификатов с личными ключами, а форматы PKCS #7, DER и Base64 предназначены для обмена сертификатами без ключей. Выбор подходящего формата зависит от требуемой степени безопасности и совместимости с используемыми системами.