Wat te weten
- Een PEM-bestand is een Privacy Enhanced Mail Certificate-bestand.
- Open er een met het programma of besturingssysteem dat het bestand nodig heeft (ze werken allemaal een beetje anders).
- Converteer naar PPK, PFX of CRT met een commando of speciale converter.
Dit artikel legt uit waarvoor PEM-bestanden worden gebruikt, hoe je er een kunt openen, afhankelijk van het programma of besturingssysteem dat je gebruikt, en hoe je er een kunt converteren naar een ander certificaatbestandsformaat.
Wat is een PEM-bestand?
Een PEM-bestand is een Privacy Enhanced Mail Certificate-bestand dat wordt gebruikt om privé e-mail te verzenden. De persoon die deze e-mail ontvangt, kan erop vertrouwen dat het bericht tijdens de verzending niet is gewijzigd, aan niemand anders is getoond en is verzonden door de persoon die beweert het bericht te hebben verzonden.
PEM-bestanden zijn ontstaan uit de complicatie van het verzenden van binaire gegevens via e-mail. Het PEM-formaat codeert binair met base64 zodat het bestaat als een ASCII-tekenreeks.
Het PEM-formaat is vervangen door nieuwere en veiligere technologieën, maar de PEM-container wordt vandaag de dag nog steeds gebruikt om certificeringsinstanties, openbare en privésleutels, rootcertificaten, enz. op te slaan.
Sommige bestanden in het PEM-formaat kunnen in plaats daarvan een andere bestandsextensie gebruiken, zoals CER of CRT voor certificaten, of KEY voor openbare of privésleutels.
Hoe PEM Files te openen
De stappen voor het openen van een PEM-bestand zijn verschillend, afhankelijk van de toepassing die het nodig heeft en het besturingssysteem dat u gebruikt. Het is echter mogelijk dat u uw PEM-bestand naar CER of CRT moet converteren om ervoor te zorgen dat sommige van deze programma's het bestand accepteren.
Windows
Als je het CER- of CRT-bestand nodig hebt in een Microsoft e-mailclient zoals Outlook, open het dan in Internet Explorer om het automatisch in de juiste database te laten laden. De e-mailclient kan het vanaf daar automatisch gebruiken.
Microsoft ondersteunt Internet Explorer niet meer en raadt u aan bij te werken naar de nieuwere Edge-browser. Ga naar hun site om de nieuwste versie te downloaden.
Om te zien welke certificaatbestanden op uw computer zijn geladen en om deze handmatig te importeren, gebruikt u het Extra menu van Internet Explorer om toegang te krijgen tot Internetopties> Inhoud > Certificaten, zoals dit:
Om een CER- of CRT-bestand in Windows te importeren, opent u eerst Microsoft Management Console vanuit het dialoogvenster Uitvoeren (gebruik de Windows-toets + R sneltoets omin te voeren mmc ). Ga vanaf daar naar Bestand > Module toevoegen/verwijderen… en selecteer Certificaten in de linkerkolom en vervolgens de Voeg de knop > toe in het midden van het venster.
Kies Computeraccount op het volgende scherm, doorloop de wizard en selecteer Lokale computer wanneer daarom wordt gevraagd. Zodra "Certificaten" is geladen onder "Console Root", vouwt u de map uit en klikt u met de rechtermuisknop op Trusted Root Certification Authorities en kiest u Alle taken > Importeren
macOS
Hetzelfde concept geldt voor uw Mac-e-mailclient als voor een Windows-client: gebruik Safari om het PEM-bestand te importeren in Keychain Access.
U kunt SSL-certificaten ook importeren via het File > Import Items menu in Keychain Access. Kies Systeem in het vervolgkeuzemenu en volg de aanwijzingen op het scherm.
Als deze methoden niet werken voor het importeren van het PEM-bestand in macOS, kunt u de volgende opdracht proberen (verander "uwbestand.pem" in de naam en locatie van uw specifieke PEM-bestand):
beveiliging importeer uwbestand.pem -k ~/Bibliotheek/Sleutelhangers/login.keychain
Linux
Gebruik deze keytool-opdracht om de inhoud van een PEM-bestand op Linux te bekijken:
keytool -printcert -file yourfile.pem
Volg deze stappen als je een CRT-bestand wilt importeren in de vertrouwde certificeringsinstantie-repository van Linux (zie de PEM naar CRT-conversiemethode in de volgende sectie hieronder als je in plaats daarvan een PEM-bestand hebt):
- Navigeer naar /usr/share/ca-certificates/.
- Maak daar een map aan (bijvoorbeeld sudo mkdir /usr/share/ca-certificates/work).
- Kopieer het. CRT-bestand naar die nieuw aangemaakte map. Als u het liever niet handmatig doet, kunt u in plaats daarvan deze opdracht gebruiken: sudo cp uwbestand.crt /usr/share/ca-certificates/work/yourfile.crt.
- Zorg ervoor dat de rechten correct zijn ingesteld (755 voor de map en 644 voor het bestand).
- Voer de sudo update-ca-certificates opdracht uit.
Firefox en Thunderbird
Als het PEM-bestand moet worden geïmporteerd in een Mozilla-e-mailclient zoals Thunderbird, moet u mogelijk eerst het PEM-bestand uit Firefox exporteren. Open het Firefox-menu en kies Options Ga naar Privacy & Security en zoek de sectie Security en dan gebruik de View Certificates… knop om een lijst te openen, van waaruit u degene kunt selecteren die u wilt exporteren. Gebruik de Backup… optie om het op te slaan.
Open vervolgens in Thunderbird het menu en klik of tik op Options Navigeer naar Advanced > Certificaten> Beheer certificaten > Uw certificaten > Importeren Vanuit het gedeelte "Bestandsnaam:" van het venster Importeren, kies Certificate Files in de vervolgkeuzelijst en zoek en open vervolgens het PEM-bestand.
Om het PEM-bestand in Firefox te importeren, volgt u dezelfde stappen als voor het exporteren van een bestand, maar kiest u Import in plaats van de knop Back-up…. Als u het PEM-bestand niet kunt vinden, zorg er dan voor dat het gebied "Bestandsnaam" van het dialoogvenster is ingesteld op Certificate Files en niet op PKCS12 Files
Java KeyStore
Stack Overflow heeft een thread over het importeren van een PEM-bestand in de Java KeyStore (JKS) als dat nodig is. Een andere optie die zou kunnen werken is om deze keyutil tool te gebruiken.
Een PEM-bestand converteren
In tegenstelling tot de meeste bestandsindelingen die kunnen worden geconverteerd met een bestandsconversietool of website, moet u speciale opdrachten voor een bepaald programma invoeren om de PEM-bestandsindeling naar de meeste andere indelingen te converteren.
Converteer PEM naar PPK met PuTTYGen. Kies Load aan de rechterkant van het programma, stel het bestandstype in op een willekeurig bestand (.), en blader naar en open uw PEM-bestand. Kies Save private key om het PPK-bestand te maken.
Met OpenSSL (download hier de Windows-versie), kunt u het PEM-bestand naar PFX converteren met het volgende commando:
openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx
Als je een PEM-bestand hebt dat moet worden geconverteerd naar CRT, zoals het geval is met Ubuntu, gebruik dan deze opdracht met OpenSSL:
openssl x509 -in uwbestand.pem -informeer PEM -uit uwbestand.crt
OpenSSL ondersteunt ook het converteren van. PEM naar. P12 (PKCS12, of Public Key Cryptography Standard 12), maar voeg de bestandsextensie ". TXT" toe aan het einde van het bestand voordat u deze opdracht uitvoert:
openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12
Zie de Stack Overflow-link hierboven over het gebruik van het PEM-bestand met Java KeyStore als u het bestand naar JKS wilt converteren, of deze tutorial van Oracle om het bestand in de Java-truststore te importeren.
Meer informatie over PEM
De gegevensintegriteitsfunctie van het Privacy Enhanced Mail Certificate-formaat gebruikt RSA-MD2- en RSA-MD5-berichtoverzichten om een bericht te vergelijken voor en nadat het is verzonden, om er zeker van te zijn dat er onderweg niet mee is geknoeid.
Aan het begin van een PEM-bestand staat een koptekst die luidt -----BEGIN [label]-----, en het einde van de gegevens is een soortgelijke voettekst als deze: ----- EINDE [label] -----. De sectie "[label]" beschrijft het bericht, dus het kan PRIVATE KEY, CERTIFICATE REQUEST of CERTIFICATE zijn.
Hier is een voorbeeld:
MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyP
jbwNfR5CtewdXC+kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM
9z2j1OlaN+ci/X7NU22TNN6crYSiN77FjYJP464j876ndSxyD+rzys386T+1r1aZ
aggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH+T2Vf3WOPv8KdkcJg6gCRe
yJKXOWgWRcicx/CUzOEsTxmFIDPLxqAWA3k7v0B+3vjGw5Y9lycV/5XqXNoQI14j
y09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv/rJ5/VD6F4zWywpe90pcbK+
AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm/DYyXlIthQO/A3/LngDW
5/ydGxVsT7lAVOgCsoT+0L4efTh90PjzW8LPQrPBWVMCQQDS3h/FtYYd5lfz +FNL
9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ+vSFw38OORO00Xqs9
1GJrAkBkoXXEkxCZoy4PteheO/8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFT
DnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2/NpCeGdHS5uqRlbh
1VIa/xGps7EWQl5Mn8swQDel/YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8m
JAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3
RnJdHOMXWem7/w==
Eén PEM-bestand kan meerdere certificaten bevatten, in welk geval de secties "END" en "BEGIN" naast elkaar liggen.
Kan het bestand nog steeds niet openen?
Een reden waarom je bestand niet op een van de hierboven beschreven manieren wordt geopend, is dat je niet echt met een PEM-bestand te maken hebt. Mogelijk hebt u in plaats daarvan een bestand dat alleen een gelijkaardige gespelde bestandsextensie gebruikt. Als dat het geval is, is het niet nodig dat de twee bestanden verwant zijn of dat ze met dezelfde softwareprogramma's werken.
PEF lijkt bijvoorbeeld erg veel op PEM, maar behoort in plaats daarvan tot het Pentax Raw Image-bestandsformaat of Portable Embosser Format. Volg die link om te zien hoe je PEF-bestanden opent of converteert, als dat is wat je echt hebt.
Hetzelfde kan gezegd worden van veel andere bestandsextensies zoals EPM, EMP, EPP, PES, PET… je snapt het idee. Controleer de bestandsextensie om te zien of deze daadwerkelijk ".pem" leest voordat u bedenkt dat de bovenstaande methoden niet werken.
Als je te maken hebt met een KEY-bestand, houd er dan rekening mee dat niet alle bestanden die eindigen op. KEY thuishoren in het formaat dat op deze pagina wordt beschreven. Het kunnen in plaats daarvan softwarelicentiesleutelbestanden zijn die worden gebruikt bij het registreren van softwareprogramma's zoals LightWave, of Keynote-presentatiebestanden die zijn gemaakt door Apple Keynote.
FAQ
Hoe maak ik een PEM-bestand aan?
De eerste stap bij het maken van een PEM-bestand is het downloaden van de certificaten die uw certificeringsinstantie u heeft gestuurd. Dit omvat een tussencertificaat, een rootcertificaat, een primair certificaat en privésleutelbestanden.
Open vervolgens een teksteditor, zoals WordPad of Kladblok, en plak de hoofdtekst van elk certificaat in een nieuw tekstbestand. Ze moeten in deze volgorde staan: privésleutel, primair certificaat, tussencertificaat, basiscertificaat. Voeg begin- en eindtags toe. Ze zien er zo uit:
Sla het bestand ten slotte op als uw_domein.pem.
Is een PEM-bestand hetzelfde als een CRT-bestand?
Nee. PEM- en CRT-bestanden zijn gerelateerd; beide bestandstypen vertegenwoordigen verschillende aspecten van het sleutelgeneratie- en verificatieproces. PEM-bestanden zijn containers die bedoeld zijn om gegevens die een server verzendt, te verifiëren en te decoderen. Een CRT-bestand (wat staat voor certificaat) vertegenwoordigt een aanvraag voor het ondertekenen van een certificaat. CRT-bestanden zijn een manier om het eigendom te verifiëren zonder toegang tot een privésleutel. CRT-bestanden bevatten de openbare sleutel samen met veel meer informatie.
