Apa yang Perlu Diketahui
- Fail PEM ialah fail Sijil Mel Dipertingkat Privasi.
- Buka satu dengan program atau sistem pengendalian yang memerlukan fail (semuanya berfungsi sedikit berbeza).
- Tukar kepada PPK, PFX atau CRT dengan perintah atau penukar khas.
Artikel ini menerangkan kegunaan fail PEM, cara membukanya bergantung pada program atau OS yang anda gunakan dan cara menukar satu kepada format fail sijil yang berbeza.
Apakah itu Fail PEM?
Fail PEM ialah fail Sijil Mel Dipertingkat Privasi yang digunakan untuk menghantar e-mel secara peribadi. Orang yang menerima e-mel ini boleh yakin bahawa mesej itu tidak diubah semasa penghantarannya, tidak ditunjukkan kepada orang lain dan dihantar oleh orang yang mendakwa telah menghantarnya.
Fail PEM timbul daripada kerumitan penghantaran data binari melalui e-mel. Format PEM mengodkan perduaan dengan base64 supaya ia wujud sebagai rentetan ASCII.
Format PEM telah digantikan dengan teknologi yang lebih baharu dan lebih selamat, tetapi bekas PEM masih digunakan hari ini untuk menyimpan fail kuasa sijil, kunci awam dan peribadi, sijil akar, dsb.
Sesetengah fail dalam format PEM sebaliknya mungkin menggunakan sambungan fail yang berbeza, seperti CER atau CRT untuk sijil atau KEY untuk kunci awam atau peribadi.
Cara Membuka Fail PEM
Langkah untuk membuka fail PEM adalah berbeza bergantung pada aplikasi yang memerlukannya dan sistem pengendalian yang anda gunakan. Walau bagaimanapun, anda mungkin perlu menukar fail PEM anda kepada CER atau CRT agar beberapa atur cara ini menerima fail tersebut.
Windows
Jika anda memerlukan fail CER atau CRT dalam klien e-mel Microsoft seperti Outlook, bukanya dalam Internet Explorer untuk memuatkannya secara automatik ke dalam pangkalan data yang betul. Pelanggan e-mel boleh menggunakannya secara automatik dari sana.
Microsoft tidak lagi menyokong Internet Explorer dan mengesyorkan anda mengemas kini kepada penyemak imbas Edge yang lebih baharu. Pergi ke tapak mereka untuk memuat turun versi terbaharu.
Untuk melihat fail sijil yang dimuatkan ke komputer anda dan untuk mengimportnya secara manual, gunakan menu Tools Internet Explorer untuk mengakses Internet Options> Kandungan > Sijil, seperti ini:
Untuk mengimport fail CER atau CRT ke dalam Windows, mulakan dengan membuka Microsoft Management Console daripada kotak dialog Run (gunakan Windows Key + R pintasan papan kekunci untuk memasukkanmmc ). Dari sana, pergi ke Fail > Tambah/Alih Keluar Snap-in… dan pilih Sijil daripada lajur kiri, dan kemudian Tambahkan butang > di tengah tetingkap.
Pilih Akaun komputer pada skrin berikut, dan kemudian bergerak melalui wizard, memilih Komputer tempatan apabila ditanya. Setelah "Sijil" dimuatkan di bawah "Console Root, " kembangkan folder dan klik kanan Pihak Berkuasa Pensijilan Root Dipercayai dan pilih Semua Tugas > Import
macOS
Konsep yang sama berlaku untuk klien e-mel Mac anda seperti untuk klien Windows: gunakan Safari untuk membolehkan fail PEM diimport ke Akses Rantai Kunci.
Anda juga boleh mengimport sijil SSL melalui menu Fail > Import Item menu dalam Akses Rantai Kunci. Pilih Sistem daripada menu lungsur dan kemudian ikut gesaan pada skrin.
Jika kaedah ini tidak berfungsi untuk mengimport fail PEM ke dalam macOS, anda boleh cuba perintah berikut (tukar "yourfile.pem" menjadi nama dan lokasi fail PEM khusus anda):
keselamatan import yourfile.pem -k ~/Library/Keychains/login.keychain
Linux
Gunakan perintah alat kekunci ini untuk melihat kandungan fail PEM di Linux:
alat kunci -printcert -fail yourfile.pem
Ikuti langkah ini jika anda ingin mengimport fail CRT ke dalam repositori pihak berkuasa sijil dipercayai Linux (lihat kaedah penukaran PEM kepada CRT dalam bahagian seterusnya di bawah jika sebaliknya anda mempunyai fail PEM):
- Navigasi ke /usr/share/ca-certificates/.
- Buat folder di sana (contohnya, sudo mkdir /usr/share/ca-certificates/work).
- Salin fail. CRT ke dalam folder yang baru dibuat itu. Jika anda lebih suka tidak melakukannya secara manual, anda boleh menggunakan arahan ini sebaliknya: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.
- Pastikan kebenaran ditetapkan dengan betul (755 untuk folder dan 644 untuk fail).
Jalankan perintah sudo update-ca-certificates.
Firefox dan Thunderbird
Jika fail PEM perlu diimport ke dalam klien e-mel Mozilla seperti Thunderbird, anda mungkin perlu mengeksport fail PEM keluar daripada Firefox dahulu. Buka menu Firefox dan pilih Options Pergi ke Privacy & Security dan cari bahagian Security, dan kemudian gunakan butang Lihat Sijil… untuk membuka senarai, dari mana anda boleh memilih yang anda perlukan untuk eksport. Gunakan pilihan Sandaran… untuk menyimpannya.
Kemudian, dalam Thunderbird, buka menu dan klik atau ketik Options Navigasi ke Advanced > Certificates> Urus Sijil > Sijil Anda > Import Daripada bahagian "Nama fail:" pada tetingkap Import, pilih Certificate Files daripada menu lungsur, kemudian cari dan buka fail PEM.
Untuk mengimport fail PEM ke dalam Firefox, ikuti langkah yang sama seperti yang anda lakukan untuk mengeksportnya, tetapi pilih Import dan bukannya butang Sandaran…. Jika anda tidak menemui fail PEM, pastikan kawasan "Nama Fail" kotak dialog ditetapkan kepada Fail Sijil dan bukan PKCS12 Files
Java KeyStore
Stack Overflow mempunyai urutan tentang mengimport fail PEM ke dalam Java KeyStore (JKS) jika anda perlu berbuat demikian. Pilihan lain yang mungkin berkesan ialah menggunakan alat keyutil ini.
Cara Menukar Fail PEM
Tidak seperti kebanyakan format fail yang boleh ditukar dengan alat penukaran fail atau tapak web, anda perlu memasukkan arahan khas terhadap program tertentu untuk menukar format fail PEM kepada kebanyakan format lain.
Tukar PEM kepada PPK dengan PuTTYGen. Pilih Muat dari sebelah kanan program, tetapkan jenis fail kepada sebarang fail (.), kemudian semak imbas dan buka fail PEM anda. Pilih Simpan kunci peribadi untuk membuat fail PPK.
Dengan OpenSSL (dapatkan versi Windows di sini), anda boleh menukar fail PEM kepada PFX dengan arahan berikut:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Jika anda mempunyai fail PEM yang perlu ditukar kepada CRT, seperti kes Ubuntu, gunakan arahan ini dengan OpenSSL:
openssl x509 -dalam yourfile.pem -maklumkan PEM -out yourfile.crt
OpenSSL juga menyokong penukaran. PEM kepada. P12 (PKCS12, atau Public Key Cryptography Standard 12), tetapi tambahkan sambungan fail ". TXT" di hujung fail sebelum menjalankan perintah ini:
openssl pkcs12 -eksport -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Lihat pautan Stack Overflow di atas tentang menggunakan fail PEM dengan Java KeyStore jika anda ingin menukar fail kepada JKS, atau tutorial ini daripada Oracle untuk mengimport fail ke kedai amanah Java.
Maklumat lanjut tentang PEM
Ciri integriti data format Sijil Mel Dipertingkatkan Privasi menggunakan ringkasan mesej RSA-MD2 dan RSA-MD5 untuk membandingkan mesej sebelum dan selepas ia dihantar, untuk memastikan ia tidak diganggu sepanjang perjalanan.
Pada permulaan fail PEM ialah pengepala yang berbunyi -----BEGIN [label]-----, dan penghujung data ialah pengaki yang serupa seperti ini: ----- TAMAT [label] -----. Bahagian "[label]" menerangkan mesej, jadi ia mungkin membaca KUNCI PERSEDIAAN, PERMINTAAN SIJIL atau SIJIL.
Berikut ialah contoh:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Satu fail PEM boleh mengandungi berbilang sijil, yang mana bahagian "END" dan "BEGIN" berjiran antara satu sama lain.
Masih Tidak Dapat Membuka Fail?
Satu sebab fail anda tidak dibuka dalam mana-mana cara yang diterangkan di atas ialah anda sebenarnya tidak berurusan dengan fail PEM. Sebaliknya anda mungkin mempunyai fail yang hanya menggunakan sambungan fail yang dieja serupa. Apabila itu berlaku, kedua-dua fail tidak perlu dikaitkan atau untuk mereka berfungsi dengan program perisian yang sama.
Sebagai contoh, PEF kelihatan sangat mirip dengan PEM tetapi sebaliknya tergolong dalam format fail Imej Mentah Pentax atau Format Embosser Mudah Alih. Ikut pautan itu untuk melihat cara membuka atau menukar fail PEF, jika itu yang anda ada.
Perkara yang sama boleh dikatakan untuk banyak sambungan fail lain seperti EPM, EMP, EPP, PES, PET…anda mendapat idea itu. Hanya semak semula sambungan fail untuk melihat sama ada ia benar-benar membaca ".pem" sebelum menganggap bahawa kaedah di atas tidak berfungsi.
Jika anda berurusan dengan fail KEY, ambil perhatian bahawa tidak semua fail yang berakhir dengan. KEY tergolong dalam format yang diterangkan pada halaman ini. Sebaliknya mungkin fail Kunci Lesen Perisian yang digunakan semasa mendaftarkan atur cara perisian seperti LightWave atau fail Keynote Presentation yang dibuat oleh Apple Keynote.
Soalan Lazim
Bagaimana cara saya membuat fail PEM?
Langkah pertama untuk mencipta fail PEM ialah memuat turun sijil yang dihantar oleh pihak berkuasa sijil anda kepada anda. Ini akan termasuk sijil perantaraan, sijil akar, sijil utama dan fail kunci peribadi.
Seterusnya, buka editor teks, seperti WordPad atau Notepad, dan tampal badan setiap sijil ke dalam fail teks baharu. Mereka hendaklah dalam susunan ini: Kunci Persendirian, Sijil Utama, Sijil Perantaraan, Sijil Root. Tambah tag permulaan dan penamat. Mereka akan kelihatan seperti ini:
Akhir sekali, simpan fail sebagai domain_anda.pem.
Adakah fail PEM sama dengan fail CRT?
Tidak. Fail PEM dan CRT adalah berkaitan; kedua-dua jenis fail mewakili aspek penjanaan kunci dan proses pengesahan yang berbeza. Fail PEM ialah bekas yang bertujuan untuk mengesahkan dan menyahsulit data yang dihantar oleh pelayan. Fail CRT (yang bermaksud sijil) mewakili permintaan menandatangani sijil. Fail CRT ialah cara untuk mengesahkan pemilikan tanpa akses kunci peribadi. Fail CRT mengandungi kunci awam bersama-sama dengan lebih banyak maklumat.
