Файл сертификата должен быть в формате der x 509 операция прервана
Обновлено: 04.07.2024
Сертификаты X.509 — это цифровые документы, которые представляют пользователя, компьютер, службу или устройство. Они могут выдаваться корневым или подчиненным центром сертификации (ЦС) либо центром регистрации и содержат открытый ключ субъекта сертификата. Они не содержат закрытый ключ субъекта, который должен храниться безопасно. Сертификаты с открытым ключом определяются в документе RFC 5280. Они имеют цифровую подпись и обычно содержат следующую информацию:
- сведения о субъекте сертификата;
- открытый ключ, который соответствует открытому ключу субъекта сертификата;
- сведения о ЦС, выдавшем сертификат;
- поддерживаемые алгоритмы шифрования и (или) цифровой подписи;
- сведения для определения состояния отзыва или допустимости сертификата.
Поля сертификата
Со временем появились три версии сертификата. В каждой из версий добавлялись новые поля. Версия 3, которая действует в настоящий момент, содержит все поля версий 1 и 2, дополненные полями версии 3. Версия 1 определяет следующие поля:
- Version (Версия) — значение 1, 2 или 3, которое указывает используемую версию сертификата.
- Serial Number (Серийный номер) — уникальный идентификатор, который присваивается каждому сертификату ЦС.
- CA Signature Algorithm (Алгоритм подписывания ЦС) — имя алгоритма, который ЦС использует для подписывания содержимого сертификата.
- Issuer Name (Имя издателя) — различающееся имя ЦС, который выдал этот сертификат.
- Validity Period (Период действия) — период времени, в течение которого сертификат считается действительным.
- Subject Name (Имя субъекта) — имя сущности, которую представляет сертификат.
- Subject Public Key Info (Данные открытого ключа субъекта) — открытый ключ, принадлежащий субъекту сертификата.
В версии 2 добавлены следующие поля с информацией об издателе сертификата, хотя эти поля редко используются:
- Issuer Unique ID (Уникальный идентификатор издателя): уникальный идентификатор центра сертификации, который выдал сертификат. Он определяется самим центром сертификации.
- Subject Unique ID (Уникальный идентификатор субъекта) — уникальный идентификатор субъекта сертификата, который определяется ЦС, выдавшим сертификат.
В сертификатах версии 3 добавлены следующие расширения:
- Authority Key Identifier (Идентификатор ключа центра) — может содержать одно из двух значений:
- субъект ЦС и серийный номер сертификата ЦС, который выдал сертификат;
- хэш-код открытого ключа ЦС, который выдал этот сертификат.
- Цифровая подпись
- Неотрекаемость
- Шифрование ключа
- Data Encipherment (Шифрование данных);
- Key Agreement (Согласование ключей);
- Key Cert Sign (Подпись сертификата с ключом);
- CRL Sign (Подпись списка отзыва сертификатов);
- Encipher Only (Только шифрование);
- Decipher Only (Только расшифровка).
Форматы сертификатов
Сертификаты можно сохранить в нескольких форматах. Для проверки подлинности в Центре Интернета вещей Azure обычно используются форматы PEM и PFX.
Двоичный сертификат
Содержит двоичный сертификат в необработанном формате в кодировке DER ASN.1.
Формат ASCII PEM
Сертификат PEM (файл с расширением .pem) содержит сертификат в кодировке Base64 с префиксом -----BEGIN CERTIFICATE----- и постфиксом -----END CERTIFICATE-----. Формат PEM очень распространен и является обязательным к использованию при отправке некоторых сертификатов в Центр Интернета вещей.
Ключ ASCII (PEM)
Содержит ключ DER в кодировке Base64 с добавлением необязательных метаданных со сведениями об алгоритме, используемом для защиты пароля.
Этот формат предназначен для передачи подписанных или зашифрованных данных. Он определяется стандартом RFC 2315. В нем может содержаться полная цепочка сертификатов.
Этот формат предназначен для хранения закрытого ключа и определен в стандарте RFC 5208.
Дополнительные сведения
Дополнительные сведения см. в следующих разделах:
Дальнейшие действия
Если вы хотите создать тестовые сертификаты, которые можно использовать для проверки подлинности устройств в Центре Интернета вещей, изучите следующие разделы:
Квалифицированная электронная подпись состоит из открытого и закрытого ключа. Обе составляющие создаются с помощью криптографических алгоритмов. Для работы с КЭП нужно использовать оба ключа — каждый из них выполняет свою функцию.
Что такое открытый ключ ЭЦП
Открытый ключ электронной подписи представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.
Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных, получить доступ к ним сможет только владелец закрытой части ключа.
Сертификат содержит в себе следующие данные:
срок действия сертификата;
реквизиты удостоверяющего центра;
ФИО владельца сертификата;
название криптографического алгоритма;
Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta он скрыт. Чтобы увидеть скрытый сертификат, его необходимо экспортировать.
Инструкция как экспортировать открытый ключ
Экспортировать открытый ключ электронной подписи можно через свойства обозревателя либо из криптопровайдера КриптоПро CSP. При этом носитель с ключом должен быть подключён к компьютеру.
Экспорт открытого ключа через свойства обозревателя
1. В системе Windows перейдите в «Пуск» → «Панель управления» → «Свойства обозревателя (Свойства браузера)».
2. Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».
3. В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».
![Экспорт]()
4.В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».
5. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».
6. Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».
Экспорт открытого ключа из КриптоПро CSP
1. В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».
2. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере».
4. В окне «Сертификат для просмотра» нажмите кнопку «Свойства».
![Свойства]()
5. Перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл».
6. В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».
7. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».
8. Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».
Что такое закрытый ключ ЭЦП
Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания защищённой части электронной подписи.
Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.
Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.
Как и в случае с сертификатом, закрытый ключ может быть как скрыт так и виден, в зависимости от носителя. Он представлен в виде папки, которая содержит несколько файлов с расширением .key, поэтому закрытый ключ также называют контейнером. Скрытый контейнер с закрытым ключом нужно экспортировать, чтобы получить к нему прямой доступ.
Инструкция как экспортировать закрытый ключ
Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.
В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».
Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».
В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».
Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.
Введите название копии закрытого ключа и нажмите «Готово».
В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.
Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.
Открытый и закрытый ключи квалифицированной электронной подписи выполняют разные функции, но для работы нужны обе части. В некоторых случаях владельцу ЭЦП нужно сделать экспорт на другой носитель, воспользоваться он может как средствами Windows, так и криптопровайдером КриптоПро CSP.
Электронная подпись состоит из закрытого ключа и открытого ключа (сертификат .cer)
Удостоверяющие центры выдают ЭП на ключевых носителях - РуТокен/ЕТокен, флешкарта.
Если электронная подпись Ваша организация хранит на обычной флешкарте, то в корне носителя должен быть файл с расширением .cer - сертификат безопасности. Это открытая часть ключа - открытый ключ (сертификат ключа подписи).
Если Вашей организацией используется защищенный ключевой носитель РуТокен/ЕТокен, то физически увидеть сертификат невозможно. Для этого необходимо открытый ключ экспортировать штатным функционалом системы криптографии (криптопровайдера).Экспорт открытого ключа возможен в том случае, если ЭП уже установлена на рабочем месте пользователя. Если ЭП на компьютере пользователя еще не установлена, ее необходимо установить, воспользовавшись инструкциями, которые выдал Удостоверяющий центр. В случае возникновения трудностей с установкой, необходимо обратиться в УЦ, где была приобретена ЭП.
Экспортировать открытый ключ в файл на рабочем месте пользователя можно двумя способами:
1). Из Свойств обозревателя.
Пуск -> Панель управления -> Свойства обозревателя
(или запустите браузер Internet Explorer -> Сервис -> Свойства обозревателя)![]()
![]()
Запустится "Мастер импорта сертификатов".
![]()
Ответьте на вопросы мастера:
- Нет. Не экспортировать закрытый ключ.![]()
- Файлы Х.509 (.CER) в кодировке DER
![]()
- Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.
![]()
![]()
![]()
В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.
2). Из КриптоПро CSP.
Пуск -> Панель управления -> КриптоПро CSP
![]()
Выберите вкладку "Сервис", кнопка "Посмотреть сертификаты в контейнере".
![]()
В открывшемся окне по кнопке "Обзор" выберите ключевой контейнер, сертификаты которого вы хотите посмотреть.
![]()
В небольшом окне выбора контейнера выберите требуемый считыватеть (РуТокен, ЕТокен, дисковод) и контейнер закрытого ключа на нем. ОК.
![]()
![]()
В открывшемся окне свойств сертификата перейти на вкладку "Состав" и нажать кнопку "Копировать в файл".
Запустится "Мастер импорта сертификатов".
![]()
Ответьте на вопросы мастера:
- Нет. Не экспортировать закрытый ключ.![]()
- Файлы Х.509 (.CER) в кодировке DER
![]()
- Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.
![]()
![]()
![]()
В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.
У меня есть файл * .key, но вся документация, которую я нашел в Интернете, указаны файлы * .crt, а мой центр сертификации предоставил мне только файл * .cer.
Файлы * .cer - это то же самое, что * .crt? Если нет, как я могу преобразовать CER в формат CRT?
CER а CRT расширения ничего не значат. Разные поставщики PKI используют разные расширения для одного и того же. Если файл двоичный, то, вероятно, он закодирован в ASN.1 / DER. Если файл доступен для чтения человеком -----BEGIN CERTIFICATE----- , то его кодировка PEM. Что у вас есть (DER или PEM) и что вам нужно (DER или PEM)?Расширения файлов для криптографических сертификатов на самом деле не так стандартизированы, как можно было бы ожидать. Windows по умолчанию обрабатывает двойной щелчок по .crt файлу как запрос на импорт сертификата в хранилище корневых сертификатов Windows, но обрабатывает .cer файл как запрос только на просмотр сертификата. Итак, они разные в том смысле, что Windows имеет различное значение для того, что происходит, когда вы дважды щелкаете каждый тип файла.
Но то, как Windows обрабатывает их, когда вы дважды щелкаете по ним, - это почти единственная разница между ними. Оба расширения просто представляют, что они содержат публичный сертификат. Вы можете переименовать файл сертификата, чтобы использовать одно расширение вместо другого в любой системе или файле конфигурации, который я видел. А на платформах, отличных от Windows (и даже в Windows), люди не особо заботятся о том, какое расширение они используют, и рассматривают их как взаимозаменяемые, поскольку между ними нет разницы, если содержимое файла правильное.
Еще больше сбивает с толку то, что существует два стандартных способа хранения данных сертификата в файле: один - «двоичная» кодировка X.509, а другой - «текстовая» кодировка base64, которая обычно начинается с « -----BEGIN CERTIFICATE----- ». Они кодируют одни и те же данные, но по-разному. Большинство систем принимают оба формата, но при необходимости вы можете преобразовать один в другой с помощью openssl или других инструментов. Кодировка в файле сертификата действительно не зависит от того, какое расширение кто-то дал файлу.
Читайте также:
