آمادهسازی SSL/TLS Certificate با فرمت PEM
فرمت PEM یک نوع فرمت ذخیرهسازی فایل برای نگهداشت کلیدها و certificateهای رمزنگاری است. نام کامل این فرمت Privacy-enhanced Electronic Mail و پراستفادهترین فرمت ذخیرهسازی در حوزهی رمزنگاری بهویژه در سیستمهای متن باز است.
برخلاف بیشتر استانداردهای ذخیرهسازی فایلهای رمزنگاری که محتوا را بهشکل binary ذخیره میکنند، فرمت PEM از base64 برای encoding استفاده میکند، این باعث میشود جابهجایی و خوانش فایل بسیار آسانتر شود.
اگرچه پسوند فایلهای در سیستمهای متن باز از اهمیت بالایی برخوردار نیست اما معمولا فایلهای pem اگر کلید خصوصی یا private key را شامل باشند، از پسوند key. و اگر certificate را شامل باشد از پسوند cer. یا crt. یا pem. استفاده خواهند کرد.
فایلهای با فرمت PEM را میتوانید بهراحتی بهکمک یک ویرایشگر متن مانند notepad یا vim باز کنید و محتوای آن را بررسی کنید.
محتوای کلید خصوصی (Private key) شبیه به این خواهد بود:
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
یک نمونه فایل PEM حاوی محتوای Certificate ساختازی شبیه به این خواهد داشت:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
تبدیل از سایر فرمتها به PEM
با توجه به این که Certificate خود را از کجا خریداری کردهاید یا چگونه آن رو تولید کردهاید فرمت پیشفرض آن متفاوت است. در بیشتر موارد certificate شما بهشکل پیشفرض با فرمت PEM خواهد بود و نیازی به انجام تغییرات در آن نیست. اما اگر از فرمتهایی مانند PFX-PKCS#12 و یا P7B-PKCS#7 استفاده میکنید، میتوانید بهسادگی آن را به PEM تغییر دهید. برای این کار هم میتوانید از ابزارهای آنلاین مانند اینجا استفاده کنید یا از دستورات OpenSSL استفاده کنید.
* دقت داشته باشید که فایلهای PFX هم زمان دارای کلید خصوصی و Certificate هستند، پس میتوان هم کلید خصوصی و هم certificate را از آن خارج کرد.
Convert DER to PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
Convert P7B to PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem
Convert PFX to PEM
openssl pkcs12 -in certname.pfx -nokeys -out certificate.pem openssl pkcs12 -in certname.pfx -nocerts -out private.key -nodes
ساختن Trust Chain
برای اینکه SSL/TLS Certificate بهدرستی عمل کند و محتوای وبسایت شما بهکمک پروتکل HTTPS در تمامی مرورگرها بدون اخطار نمایش داده شوند، باید بهجای بارگذاری فایل Certificate خود به شکل عادی یک SSL Certificate Trust Chain کامل ایجاد کنید. برای اطلاع از چگونگی انجام این کار راهنمای ساختن Certificate Trust Chain را مطالعه کنید.