W tym artykule przedstawimy przegląd pliku .pem i sposobu jego używania.
Podstawowa składnia
Plik Pem zaczyna się od:
-----ROZPOCZĄĆ -----
Base64 koduje bloki danych
-----KOŃCZYĆ SIĘ -----
Dane są zakodowane w base64 między tymi tagami. Plik pem składa się z wielu bloków. Przeznaczenie każdego bloku lub pliku pem jest wyjaśnione w nagłówku, który mówi, jakie jest zastosowanie danego bloku. Na przykład widzisz następujący nagłówek na początku pliku pem.
-----ROZPOCZĄĆKLUCZ PRYWATNY RSA -----
Powyższy nagłówek oznacza wszystkie następujące ciągi danych związane ze szczegółami klucza prywatnego RSA.
Jak korzystać z pliku pem dla certyfikatów SSL?
Korzystając z plików pem, możesz przechowywać certyfikaty SSL wraz z powiązanymi kluczami prywatnymi. W pełnym łańcuchu SSL przypisanych jest więcej niż jeden certyfikat i działają one w następującej kolejności:
Po pierwsze, certyfikat użytkownika końcowego, zwykle przypisywany do nazwy domeny przez urząd certyfikacji (CA). Ten plik certyfikatu jest używany w Nginx i Apache do szyfrowania HTTPS.
Istnieją opcjonalne do czterech certyfikatów pośrednich przypisanych do mniejszego urzędu certyfikacji przez wyższe urzędy.
Ostatecznie najwyższym certyfikatem jest certyfikat główny, który jest samopodpisany przez główny urząd certyfikacji (CA).
Każdy certyfikat w pliku pem wymieniony w oddzielnych blokach w następujący sposób:
-----ROZPOCZĄĆCERTYFIKAT-----//użytkownik końcowy
-----KOŃCZYĆ SIĘCERTYFIKAT-----
-----ROZPOCZĄĆCERTYFIKAT-----
//Certyfikaty pośrednie
-----KOŃCZYĆ SIĘCERTYFIKAT-----
-----ROZPOCZĄĆCERTYFIKAT-----
//Certyfikat główny
-----KOŃCZYĆ SIĘCERTYFIKAT-----
Pliki te zostaną dostarczone przez Twojego dostawcę SSL do wykorzystania na Twoim serwerze sieciowym.
Następujące certyfikaty zostaną wygenerowane przez certbota LetsEncrypt.
cert.pem chain.pem fullchain.pem privkey.pemUmieść wszystkie te certyfikaty w tej lokalizacji „/etc/letsencrypt/live/twoja-nazwa-domeny/”.
Teraz użyj tych certyfikatów, przekaż je jako parametr swojej przeglądarki internetowej w Nginx w następujący sposób:
ssl_certificate/itp/letencrypt/na żywo/Nazwa domeny/fullchain.pem;ssl_certificate_key/itp/letencrypt/na żywo/Nazwa domeny/privkey.pem;
W przypadku Apache można użyć tej samej metody, ale użyj dyrektyw SSLCertificateFile i SSLCertificatekeyFile w następujący sposób:
Plik certyfikatu SSL/itp/letencrypt/na żywo/Nazwa domeny/fullchain.pemSSLCertificateKeyFile/itp/letencrypt/na żywo/Nazwa domeny/privkey.pem
Jak używać plików Pem dla SSH?
Pliki Pem mogą być również używane do SSH. Warto zauważyć, że kiedy tworzysz nową instancję dla usług internetowych Amazon, dostarcza Ci plik pem zawierający klucz prywatny, a ten klucz jest używany, aby móc łączyć się przez SSH z nowymi instancjami.
Najprostsza metoda dodania klucza prywatnego do ssh-agent za pomocą polecenia ssh-add w następujący sposób:
ssh-dodajklucz plik.pemUruchom powyższe polecenie podczas uruchamiania. Nie utrzymuje się to po ponownym uruchomieniu systemu.
Wniosek
W tym artykule przedstawiliśmy krótki przegląd pliku pem. Wyjaśniliśmy podstawowe wprowadzenie i wykorzystanie plików pem dla certyfikatów SSL i usług SSH.