Formáty SSL certifikátů a konverze mezi nimi

Je nutné mít na paměti, že souborová "přípona" (například .cer či .crt) vůbec nerozhoduje o tom, v jakém formátu je SSL certifikát uložen! Například SSL certifikát v souboru certificate.crt může být jak ve formátu DER, tak i ve formátu PEM.

Obecně vzato je každý SSL certifikát standardu X.509 (či x509) podle definice ASN.1. V jakém formátu skutečně SSL certifikát je, poznáte nejjednodušeji jeho prohlédnutím (otevřením) v textovém editoru. SSL certifikát ve formátu PEM začíná řádkem -----BEGIN CERTIFICATE-----, zatímco SSL certifikát ve formátu DER je uložen v binární podobě.

Pokud jste SSL certifikát zakoupili u nás na ssls.cz, pak SSL certifikát i intermediate certifikáty obdržíte implicitně ve formátu PEM (.crt, .cer). Správci serverů na platformě Windows si nyní mohou stáhnout SSL certifikát přímo ve formátu PKCS#12 (soubor .pfx).

Formát SSL certifikátu	Způsob uložení	Nejčastější přípony	Servery	Další skutečnosti
PEM	Base64/ASCII	.pem, .crt, .cer, .key, .txt, .chain	Apache, nginx, Postfix, Dovecot, Microsoft IIS, …	Obsahuje SSL certifikát či celou root-chain. Může obsahovat privátní klíč.
DER	binární	.der, .crt, .cer	Apache, nginx, Postfix, Dovecot, …	Obsahuje SSL certifikát či celou root-chain. Může obsahovat privátní klíč.
PKCS#7	Base64/ASCII	.p7b, .p7c	Microsoft IIS, Java Tomcat, …	Obsahuje SSL certifikát či celou root-chain. Neobsahuje privátní klíč.
PKCS#12	binární	.p12, .pfx	Microsoft IIS, Java Tomcat, …	Obsahuje SSL certifikát či celou root-chain. Vždy obsahuje privátní klíč.

Formát SSL certifikátu

Způsob uložení

Nejčastější přípony

Servery

Další skutečnosti

PEM

Base64/ASCII

.pem, .crt, .cer, .key, .txt, .chain

Apache, nginx, Postfix, Dovecot, Microsoft IIS, …

Obsahuje SSL certifikát či celou root-chain. Může obsahovat privátní klíč.

DER

binární

.der, .crt, .cer

Apache, nginx, Postfix, Dovecot, …

Obsahuje SSL certifikát či celou root-chain. Může obsahovat privátní klíč.

PKCS#7

Base64/ASCII

.p7b, .p7c

Microsoft IIS, Java Tomcat, …

Obsahuje SSL certifikát či celou root-chain. Neobsahuje privátní klíč.

PKCS#12

binární

.p12, .pfx

Microsoft IIS, Java Tomcat, …

Obsahuje SSL certifikát či celou root-chain. Vždy obsahuje privátní klíč.

Příkazy OpenSSL pro konverzi mezi formáty SSL certifikátů

Těmito příkazy můžete provést konverzi mezi různými formáty SSL certifikátů (x509 certifikátů), například z formátu PEM pro Apache do formátu PFX (PKCS#12) pro IIS či Tomcat server.

DER ⇨ PEM

openssl x509 -inform der -in certificate.der -out certificate.pem

PEM ⇨ DER

openssl x509 -outform der -in certificate.pem -out certificate.der

PKCS#12 ⇨ PEM

V tomto případě předpokládáme, že soubor s SSL certifikátem ve formátu PKCS#12 obsahuje i privátní klíč.

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Také můžete přidat -nokeys, čímž bude exportován pouze SSL certifikát bez privátního klíče.

PEM + privátní klíč ⇨ PKCS#12

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile intermediate.crt

Soubor intermediate.crt obsahuje příslušný intermediate CA certifikát, popř. celou root-chain — tedy více vzájemně na sebe navazujících intermediate CA certifikátů a kořenového CA certifikátu (tzv. intermediate CA chain).

Více OpenSSL příkazů

OpenSSL je nástroj nabízející obrovské množství možností. OpenSSL je jeden z nejpoužívanějších nástrojů zejména díky multiplatformní dostupnosti. K dispozici je pro různé operační systémy, včetně Windows, Linux a macOS.

Nejčastější příkazy OpenSSL

Konverze SSL formátů ve Windows

Ke konverzi mezi různými formáty SSL certifikátů můžete na platformě Windows kromě OpenSSL a SSL Converteru použít i nástroj Pvk2Pfx z dílny Microsoft.