Как конвертировать SSL-сертификат | Xelent

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Macos

Та же концепция верна для вашего почтового клиента Mac, как и для Windows: используйте Safari для импорта файла PEM в Keychain Access.

Вы также можете импортировать сертификаты SSL через Файл> Импортировать элементы … в меню «Доступ к ключам». выберите система в раскрывающемся меню, а затем следуйте инструкциям на экране.

Если эти методы не работают для импорта файла PEM в macOS, вы можете попробовать следующую команду (измените «yourfile.pem» на имя и расположение вашего конкретного файла PEM):

security import yourfile.pem -k

/ Библиотека / Брелки / login.keychain

Linux

Используйте эту команду keytool для просмотра содержимого файла PEM в Linux:

keytool -printcert -file yourfile.pem

Выполните следующие шаги, если вы хотите импортировать файл CRT в репозиторий доверенных сертификатов Linux (см. Метод преобразования PEM в CRT в следующем разделе ниже, если вместо этого есть файл PEM):

Перейдите к / USR / доли / CA-сертификаты / .

Создайте там папку (например, sudo mkdir / usr / share / ca-certificate / work).

Скопируйте файл .CRT в эту вновь созданную папку. Если вы не хотите делать это вручную, вы можете использовать эту команду: sudo cp yourfile.crt /usr/share/ca-certificates/work/yourfile.crt.

Убедитесь, что разрешения установлены правильно (755 для папки и 644 для файла).

Запустите sudo update-ca-certificate команда.

Windows

Если вам нужен файл CER или CRT в почтовом клиенте Microsoft, например Outlook, откройте его в Internet Explorer, чтобы он автоматически загрузился в соответствующую базу данных. Клиент электронной почты может автоматически использовать его оттуда.

Чтобы узнать, какие файлы сертификатов загружены на ваш компьютер и импортировать их вручную, используйте Internet Explorer. инструменты меню для доступа Свойства обозревателя> Контент> Сертификаты, как это:

Чтобы импортировать файл CER или CRT в Windows, начните с открытия Microsoft Management Console в диалоговом окне «Выполнить» (используйте Windows Key R сочетание клавиш для ввода ММС). Оттуда перейдите к Файл> Добавить / удалить оснастку … и выберите Сертификаты из левого столбца, а затем Добавить> в центре окна.

выберите Компьютерный счет на следующем экране, а затем перейдите к мастеру, выбрав Локальный компьютер когда его спрашивают. Как только «Сертификаты» загружаются под «Корень консоли», разверните папку и щелкните правой кнопкой мыши доверенные корневые центры сертификации, и выберите Все задачи> Импорт ….

Аккорд | асц

Варианты подписи в формате sig

ЭП может быть двух видов:

1. Отсоединенной – когда подпись содержится в отдельном файле. При ее использовании основной документ остается неизменным, а к нему добавляется второй объект небольшого размера под тем же именем с двойным расширением, где втрое — сиг.
2. Присоединенной – когда код подписи вносится в исходный файл. На выходе получается всего один документ, размер которого немного увеличивается. К его названию дописывается расширение sig.

Присоединенную подпись обычно используют вместе с шифрованием, чтобы обеспечить документу еще большую защиту. В зависимости от алгоритма шифрования, к такому файлу может добавиться еще одно – третье расширение.

Разница между шифрованным и просто подписанным файлами в том, что подписанный, но незашифрованный документ может посмотреть кто угодно, используя ПО для чтения электронной подписи, а зашифрованный – только обладатель ключа.

Существуют и другие варианты использования подписи совместно с шифрованием, но этот применяется чаще всего.

Ваш файл все еще не открывается?

Одна из причин, по которой ваш файл не открывается ни одним из способов, описанных выше, заключается в том, что вы на самом деле не имеете дело с файлом PEM. Вместо этого у вас может быть файл, который просто использует расширение с аналогичным написанием. Если это так, нет необходимости связывать эти два файла или работать с одними и теми же программами.

Например, PEF выглядит очень много, как PEM, но вместо этого принадлежит либо файлу формата Pentax Raw Image, либо Portable Format Embosser Format. Следуйте этой ссылке, чтобы узнать, как открывать или конвертировать файлы PEF, если это действительно так.

То же самое можно сказать и для многих других расширений файлов, таких как EMP, EPP, PES, PET … у вас есть идея. Просто дважды проверьте расширение файла, чтобы увидеть, что он действительно читает «.pem», прежде чем считать, что вышеприведенные методы не работают.

Если вы имеете дело с файлом KEY, имейте в виду, что не все файлы, которые заканчиваются на .KEY, принадлежат к формату, описанному на этой странице. Вместо этого они могут быть ключевыми файлами программного обеспечения, которые используются при регистрации программ, таких как LightWave или Keynote Presentation, созданных Apple Keynote.

Если вы уверены, что у вас есть файл PEM, но у вас возникли проблемы с его открытием или использованием, см. Раздел «Дополнительная помощь» для получения информации о контакте со мной в социальных сетях или по электронной почте, публикации на форумах технической поддержки и т. Д. Позвольте мне знать, какие у вас проблемы, и я посмотрю, что я могу сделать, чтобы помочь.

Где используются и чем открыть файлы с расширением sig

Наиболее частые упоминания об этом расширении связаны с программами Microsoft Outlook, Microsoft OneNote, Creatacard, Prisma и другими. Познакомимся с ними поближе.

Microsoft Outlook. До массового внедрения ЭЦП (электронной цифровой подписи), sig-файлы использовались для подтверждения личности отправителя. Если письмо направлялось адресату, который пользовался программами с поддержкой технологии электронной подписи (QUALCOMM Eudora, Mozilla Thunderbird и т.д), то sig-файлы не вкладывались в отправление, в нем просто появлялась отметка, что письмо заверено.

В случаях, когда заверенное письмо отправлялось на неподдерживающие подпись клиенты или онлайн-почту, вместе с письмом приходил файл с расширением сиг. В настоящее время эту функцию заменили ЭЦП, которая может интегрироваться в почтовые приложения. Но и подпись имеет теперь другое расширение.

Microsoft OneNote. Здесь принцип работы объектов sig такой же, как в почтовых клиентах, только заверение производится подписью в блокноте. В настоящее время также не используется.

Назначение сиг в обоих случаях – дать программе команду вывести значок подтверждения, что ключ подписи в письме верный. Но ни в самом почтовом клиенте, ни в программах вроде блокнота прочитать такие файлы нельзя.

Creatacard от компании Broderbund. Файлы с расширением sig, созданные в этой программе, содержат растровые изображения (трехмерная пиксельная картинка в виде сетки). В России программа Creatacard не сильно распространена, и если вы с ней не работаете, вероятность оказаться ее файлу на вашем компьютере стремится к нулю.

Дополнительная информация о pem

Функция целостности данных в формате расширенного почтового сертификата использует сообщения RSA-MD2 и RSA-MD5 для сравнения сообщения до и после его отправки, чтобы гарантировать, что он не был изменен на этом пути.

В начале файла PEM находится заголовок, который читает —— BEGIN label —— , а конец данных — аналогичный нижний колонтитул: —— END label ——. Раздел «label» описывает сообщение, поэтому он может читать ЧАСТНЫЙ КЛЮЧ, ЗАПРОС СЕРТИФИКАТА, или же СВИДЕТЕЛЬСТВО .

—— НАЧАТЬ ЧАСТНЫЙ КЛЮЧ ——MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAMLgD0kAKDb5cFyPjbwNfR5CtewdXC kMXAWD8DLxiTTvhMW7qVnlwOm36mZlszHKvsRf05lT4pegiFM9z2j1OlaN Сl / X7NU22TNN6crYSiN77FjYJP464j876ndSxyD rzys386T 1r1aZaggEdkj1TsSsv1zWIYKlPIjlvhuxAgMBAAECgYA0aH T2Vf3WOPv8KdkcJg6gCReyJKXOWgWRcicx / CUzOEsTxmFIDPLxqAWA3k7v0B 3vjGw5Y9lycV / 5XqXNoQI14jy09iNsumds13u5AKkGdTJnZhQ7UKdoVHfuP44ZdOv / rJ5 / VD6F4zWywpe90pcbK AWDVtusgGQBSieEl1QJBAOyVrUG5l2234raSDfm / DYyXlIthQO / A3 / LngDW5 / ydGxVsT7lAVOgCsoT 0L4efTh90PjzW8LPQrPBWVMCQQDS3h / FtYYd5lfz НОС9CEe1F1w9l8P749uNUD0g317zv1tatIqVCsQWHfVHNdVvfQ vSFw38OORO00Xqs91GJrAkBkoXXEkxCZoy4PteheO / 8IWWLGGr6L7di6MzFl1lIqwT6D8L9oaV2vynFTDnKop0pa09Unhjyw57KMNmSE2SUJAkEArloTEzpgRmCq4IK2 / NpCeGdHS5uqRlbh1VIa / xGps7EWQl5Mn8swQDel / YP3WGHTjfx7pgSegQfkyaRtGpZ9OQJAa9Vumj8mJAAtI0Bnga8hgQx7BhTQY4CadDxyiRGOGYhwUzYVCqkb2sbVRH9HnwUaJT7cWBY3RnJdHOMXWem7 / ш ==—— КОНЕЦ ЧАСТНОГО КЛЮЧА ——

Один файл PEM может содержать несколько сертификатов, и в этом случае секции «END» и «BEGIN» соседствуют друг с другом.

Импорт сертификата в windows

Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:

1. Первый, это для компьютера
2. Второй для пользователя

Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:

1. Через графический мастер импорта сертификатов
2. Через использование утилиты командной строки certutil

Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.

Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.

Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.

На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку “Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его”. Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.

Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.

Нажимаем далее.

Завершаем мастер импорта сертификатов.

В результате импортирование сертификата успешно выполнено.

Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc “сертификаты” или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:

certutil -store -v My

В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку “Сертификаты” (Подробнее по ссылке выше про mmc).

В контейнере “Личное – Сертификаты” я вижу свой Wildcard SSL сертификат, и по значку я вижу, что в нем есть закрытый ключ. Я его удалю, чтобы импортировать его с помощью certutil.

Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:Tempwildcard.

cd C:Tempwildcard

Далее импортируем наш сертификат. пишем команду:

certutil -importPFX -p “12345678” my pyatilistnik.pfx

Где -p, это пароль, а pyatilistnik.pfx имя файла.

Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.

Как конвертировать файл pem

В отличие от большинства форматов файлов, которые могут быть преобразованы с помощью инструмента преобразования файлов или веб-сайта, вам необходимо ввести специальные команды для конкретной программы, чтобы преобразовать формат файла PEM в большинство других форматов.

Преобразуйте PEM в PPK с помощью PuTTYGen. выберите нагрузка с правой стороны программы, установите тип файла как любой файл (*. *), а затем просмотрите и откройте файл PEM. выберите Сохранить закрытый ключ для создания файла PPK.

С помощью OpenSSL (получить версию Windows здесь) вы можете преобразовать файл PEM в PFX с помощью следующей команды:

openssl pkcs12 -inkey yourfile.pem -in yourfile.cert -export -out yourfile.pfx

Если у вас есть файл PEM, который требуется преобразовать в CRT, как в случае с Ubuntu, используйте эту команду в OpenSSL:

openssl x509 -in yourfile.pem -inform PEM -out yourfile.crt

OpenSSL также поддерживает преобразование .PEM в .P12 (PKCS # 12 или Standard Key Cryptography Standard # 12), но добавьте расширение файла .TXT в конце файла перед запуском этой команды:

openssl pkcs12 -export -inkey yourfile.pem.txt -in yourfile.pem.txt -out yourfile.p12

См. Ссылку «Переполнение стека» выше о использовании файла PEM с Java KeyStore, если вы хотите преобразовать файл в JKS или этот учебник из Oracle, чтобы импортировать файл в доверенное хранилище Java.

Как экспортировать открытый ключ через криптопро csp –

Конвертация ssl сертификатов посредством openssl

OpenSSL — это надежный, коммерческий и полнофункциональный инструментарий для протоколов Transport Layer Security (TLS) и Secure Sockets Layer (SSL). А также библиотека криптографии общего назначения. Конвертация с использованием библиотеки OpenSSL считается одним из самых безопасных способов: все данные будет сохранены непосредственно на устройстве, на котором будут выполняться операции по конвертированию.

Для того чтобы воспользоваться им, вам необходимо перейти в командную строку и выполнить команды. 

Предоставленные ниже примеры команд OpenSSL позволяют конвертировать сертификаты и ключи в нужный формат.

Конвертировать PEM в DER можно посредством команды:

openssl x509 -outform der -in site.crt -out site.der

Аналогично, для других типов:

PEM в P7B

openssl crl2pkcs7 -nocrl -certfile site.crt -out site.p7b -certfile site.ca-bundle

PEM в PFX

openssl pkcs12 -export -out site.pfx -inkey site.key -in site.crt -certfile site.ca-bundle

Обращаем ваше внимание, что после выполнения команды, будет запрошена установка пароля ключа.

DER в PEM

openssl x509 -inform der -in site.der -out site.crt

P7B в PEM

openssl pkcs7 -print_certs -in site.p7b -out site.cer

P7B в PFX

openssl pkcs7 -print_certs -in site.p7b -out certificate.ceropenssl pkcs12 -export -in site.cer -inkey site.key -out site.pfx -certfile site.ca-bundle

PFX в PEM

openssl pkcs12 -in site.pfx -out site.crt -nodes

Копирование с помощью криптопро csp

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер,  установите его через Крипто Про.

Криптоарм

КриптоАРМ – это младший брат семейства ПО КриптоПро. Он отличается возможностью создавать персональные сертификаты, на основе которых можно формировать собственные подписи. А также тем, что рассчитан на использование в малых и средних частных предприятиях и физическими лицами.

Все сертификаты КриптоАРМ хранит на локальном компьютере и не нуждается в постоянно соединении с сервером. Стоимость его лицензии составляет 55 тысяч рублей, есть 14-дневный пробный период.

Кроме просмотров файлов сиг, КриптоАРМ умеет следующее:

• подписывать документы (создавать sig);
• проверять подлинность ЭП;
• шифровать файлы;
• расшифровывать файлы (при наличии ключа);
• заверять другую подпись своей;
• создавать персональные сертификаты для получения неверифицированной подписи.

Чтобы открыть основной документ с электронной подписью sig при помощи КриптоАРМ, сделайте следующее:

1. Запустите программу.
2. В верхнем углу окна нажмите «Файл», затем в выпадающем списке выберите графу «Посмотреть документ…».
3. В появившемся окне нажмите «Далее».
4. Нажмите кнопку «Добавить файл».
5. Выберите sig, который хотите открыть.
6. Когда программа вернет вас в предыдущее окно, нажмите «Далее».
7. В следующем окне нажмите «Готово».

Если файл не поврежден и не является отсоединенной подписью, то программа покажет вам основной документ. Последний открывается только в режиме чтения, возможности редактирования у вас не будет.

Если хотите посмотреть содержимое самой подписи или экспортировать подписанный документ в его родном формате, выполните следующие действия:

• дважды кликните левой клавишей мыши по файлу sig;
• пролистайте все всплывающие окна, нажимая «Далее», пока не увидите такое:

Здесь можно:

1. Посмотреть подписанный документ.
2. Сохранить документ в родном формате (для копии подпись недействительна).

Чтобы увидеть содержимое подписи, поставьте галочку в столбце «Статус» и нажмите «Посмотреть».

***

Для открытия подписанного документа у вас на компьютере должна быть установлена программа, поддерживающая исходный формат файла. Например, для чтения PDF-документа вам понадобится Adobe Acrobat или его аналоги. А для аудио- и видеофайлов – поддерживающие их проигрыватели.

Криптопро csp

КриптоПро CSP – платный криптодрайвер для чтения, шифрования и проверки электронных подписей. Если вы не сотрудник госорганов, не участвуете в электронных торгах и не имеете доступ к гостайне, то это ПО вам вряд ли понадобится.

С помощью КриптоПро CSP можно открыть файл sig, с электронной подписью, но с одной оговоркой: сертификат владельца должен быть предварительно загружен на сервер программы. В противном случае она покажет ошибку и откажется читать файл. При этом не важно, квалифицированная у вас подпись или нет.

Чтобы открыть электронную подпись при помощи КриптоПро CSP, выполните следующее:

1. Щелкните правой клавишей мыши по файлу.
2. В появившемся меню наведите мышку на графу «crypto» или «crypto De».
3. В новом списке выберите строчку «Проверить ЭП». После чего в правом нижнем углу экрана всплывет информация из подписи.

Разумеется, свою тестовую подпись я никуда не загружал, поэтому в результате получил отказ в чтении файла.

КриптоПро CSP позволяет выполнить следующие операции с файлами sig:

• подписать документ (создать sig);
• проверить подлинность ЭП;
• зашифровать файл;
• расшифровать файл (при наличии ключа);
• заверить другую подпись своей.

Стоимость криптодравера КриптоПро CSP просто заоблачная. В зависимости от дистрибьютора и наличия дополнительных услуг, цена варьируется в диапазоне 37-200 тысяч рублей. Но есть пробный период 90 дней.

Ответ 1

SSL появился достаточно давно и существуют определенные форматы контейнеров. Их слишком много, как это обычно бывает. Итак, вот что я знаю, и я уверен, что другие подтвердят мое мнение.

.csr – Это запрос на подписание сертификата. Некоторые приложения могут генерировать их для отправки в центры сертификации. Фактический формат – PKCS10, который определен в RFC 2986. Он включает некоторые/все ключевые детали запрашиваемого сертификата, такие как субъект, организация, штат и т.д., а также открытый ключ сертификата, который должен быть подписан.

.pem – определенный в RFC с 1421 по 1424, это контейнерный формат, который может включать только открытый сертификат (как, например, при установке Apache и файлов сертификатов CA /etc/ssl/certs),  или может включать всю цепочку сертификатов, включая открытый ключ, закрытый ключ и корневые сертификаты.

Настораживает то, что он также может быть закодирован в CSR, Поскольку формат PKCS10 может быть переведен в PEM. Название происходит от Privacy Enhanced Mail (PEM), неудачного метода для безопасной электронной почты. Но формат контейнера, который он использовал, продолжает жить и является переводом x509 ASN.1 ключей в base64.

.key – Это файл в формате PEM, содержащий только закрытый ключ конкретного сертификата, и это просто условное, а не стандартизированное название. В установках Apache он часто находится в каталоге /etc/ssl/private. Права на эти файлы очень важны, и некоторые программы откажутся загружать эти сертификаты, если они установлены неправильно.

.pkcs12 .pfx .p12 – Первоначально определенный RSA в Стандартах криптографии открытых ключей (сокращенно PKCS), вариант “12” был первоначально усовершенствован Microsoft, а затем представлен как RFC 7292. Это формат контейнера с паролем, который содержит пары публичных и приватных сертификатов.

openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem –nodes

Есть также, несколько других форматов, которые попадаются, время от времени:

.der – способ кодирования синтаксиса ASN.1 в двоичном формате, файл .pem – это просто файл .der, закодированный в Base64. OpenSSL может конвертировать их в .pem (openssl x509 -inform der -in to-convert.der -out converted.pem).

.cert .cer .crt – файлы в формате .pem (или редко .der), но с другим расширением, которые распознаются проводником Windows как сертификат, а .pem таковым не является.

.p7b .keystore – Определенный в RFC 2315 как PKCS номер 7, это формат, используемый Windows для обмена сертификатами. Java воспринимает их как нативные, и часто использует .keystore в качестве расширения. В отличие от сертификатов в стиле .pem, этот формат имеет определенный способ включения сертификатов сертификационного пути.

.crl – список отзыва сертификатов. Центры сертификации выпускают их как способ деавторизации сертификатов по истечению срока действия. Иногда их можно загрузить с веб-сайтов центров сертификации.

В целом, существует четыре различных способа представления сертификатов и их компонентов:

1. PEM – регулируется RFC, используется преимущественно в программах с открытым исходным кодом. Он может иметь различные расширения (.pem, .key, .cer, .cert и т.д.).
2. PKCS7 – Открытый стандарт, используемый Java и поддерживаемый Windows. Не содержит закрытый ключ.
3. PKCS12 – закрытый стандарт Microsoft, который позже был определен в RFC и обеспечивает повышенную безопасность по сравнению с обычным текстовым форматом PEM. Он может содержать закрытый ключ. Он используется преимущественно в системах Windows и может быть свободно преобразован в формат PEM с помощью OpenSSL.
4. DER – родительский формат PEM. Полезно рассматривать его как двоичную версию файла PEM с кодировкой base64. Редко используется за пределами Windows.

Росреестр

На сайте Росреестра есть сервис «Проверка электронного документооборота», позволяющий просматривать xml-фалы, которым может сопутствовать отсоединенная цифровая подпись в формате sig. При этом саму ЭП он не открывает, а только проверяет, является ли она квалифицированной. Подразумевается, что пользователь сервиса знает, кому принадлежит подпись.

Как работать с сервисом «Проверка электронного документооборота»:

1. В верхнем поле страницы нажмите синюю кнопку «Выберите файл» рядом с надписью «Электронный документ (xml-файл).
2. В окне проводника найдите нужный документ.
3. Если хотите проверить подлинность подписи, то в нижнем поле формы нажмите кнопку «Выберите файл» и загрузите интересующий объект sig.
4. Введите капчу (цифры на картинке) и нажмите кнопку «Проверить».

После этого под верхним полем появится иконка документа с надписью «Показать в человекочитаемом формате». Нажатие на нее откроет файл в новом окне. При желании его можно конвертировать в формат Word и распечатать.

Обратите внимание, что сервис открывает не сам файл sig, а только заверенный ЭП документ. Также он проверяет, является ли подпись квалифицированной. Если нет, сервис выдает ошибку.

Типы sig в эцп

ЭП (ЭЦП) – цифровой аналог ручной подписи, который может юридически заменять последнюю при дистанционном документообороте. Заверить электронной подписью можно любой файл и его часть, например отдельные фрагменты текста или кода.

ЭП делятся на 3 типа:

1. Простая ЭП. Она служит для идентификации отправителя и подтверждает авторство документа, но при этом не может гарантировать его неизменность. Юридическую силу имеет только в случае подписания сторонами соглашения, регулирующего использование данного типа подписи. Так как ЭП несет в себе информацию о владельце сертификата, она может использоваться для авторизации на сайтах. В настоящее время этот тип подписи поддерживает форматы файлов, отличные от sig.
2. Неквалифицированная подпись. С ее помощью можно подтвердить личность подписавшего, а также доказать неизменность содержимого файла. Этот стандарт применяется для внутреннего документооборота организаций либо для обмена между компаниями. Во втором случае требуется предварительное соглашение на использование данного типа ЭП. Проще говоря, создается собственная подпись, не зарегистрированная в удостоверяющей организации. «Внутри» ее использовать можно, «снаружи» она не имеет никакой юридической силы.
3. Квалифицированная ЭП – тоже самое, что и предыдущая, только заверенная удостоверяющим центром. Она предназначена для деятельности, не связанной с гос. учреждениями, и заверять такие подписи может любой официальный сертификационный центр, например, Microsoft Certifications. Для взаимодействия с гос. органами ЭП необходимо заверить в организациях, одобренных ФСБ.

В двух последних случаях файл с расширением SIG – это и есть электронная подпись. Он представляет собой набор зашифрованных данных, которые несут информацию о владельце объекта и криптографический код. При внесении изменений в документ его код перестает соответствовать данным в подписи. Таким образом подтверждается авторство и подлинность файла.

Форматы сертификатов

Существует четыре основных формата сертификатов:

PEM — популярный формат используемый Центрами Сертификации для выписки SSL-сертификатов.

Основные расширения этого типа .pem, .crt, .cer, .key. В файлах содержатся строки вида

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY ------

Сертификаты PEM подходят для установки на веб-серверы nginx, apache2.

DER — это бинарная форма сертификата PEM.

Основные расширения этого типа  сертификата .der .cer

Сертификаты DER подходят для установки на серверы Java.

P7B. Файлы P7B кодируются в формате Base64 и имеют расширение .p7b или .p7c.

В файлах содержатся строки вида

-----BEGIN PKCS7-----
-----END PKCS7-----

Сертификаты P7B подходят для установки на серверы MS Windows, Java Tomcat

PFX — это сертификат в бинарном формате, выданный для домена, включающий в себя сертификат, цепочку сертификатов (корневые сертификаты) и приватный ключ. Имеют расширение .pfx или .p12.

Сертификаты PFX подходят для установки на серверы Windows, в частности Internet Information Services(IIS).

Экспорт закрытого ключа

Для экспорта закрытого ключа выполните следующие действия:

Откройте Крипто-Про CSP. Перейдите во вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (Рис. 1).

В открывшемся окне укажите имя ключевого контейнера, нажав «Обзор» (Рис. 2).

Выберите ключевой контейнер пользователя, затем нажмите «Ок» (Рис. 3).

Нажмите «Далее» (Рис. 4).

Далее нажмите кнопку «Свойства» (Рис. 5).

В открывшемся окне перейдите во вкладку «Состав» и нажмите кнопку «Копировать в файл» (Рис. 6).

Откроется мастер экспорта сертификатов. Нажмите «Далее» (Рис. 7).

Далее отметьте «Да, экспортировать закрытый ключ» (1) и нажмите «Далее» (2) (Рис. 8).

Отметьте следующие пункты: «Файл обмена личной информацией – PKCS #12», «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства» (1), затем нажмите кнопку «Далее» (2) (Рис. 9).

Укажите пароль и подтверждение пароля (1), затем нажмите кнопку «Далее» (2) (Рис. 10).

Далее укажите имя файла, используя «Обзор» (1), затем нажмите кнопку «Далее» (2) (Рис. 11).

Далее нажмите «Готово» (Рис. 12).

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 13).

Откроется окно с информацией об успешном экспорте. Нажмите «Ок» (Рис. 14).

Экспорт сертификата windows

Давайте теперь проделаем процедуру обратного порядка. Первым делом я произведу экспорт сертификата из графического интерфейса. В оснастке “Сертификаты” найдите нужный вам. Щелкните по нему правым кликом и выберите “Все задачи – Экспорт’.

У вас откроется окно мастера экспорта сертификатов, нажимаем далее.

Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим “Да, экспортировать закрытый ключ”.

Вам будет предложено выбрать формат выгрузки, тут могут быть расширения cer DER, cer Base-64, p7b, PFX. Так как у меня сертификат Wildcard, то я могу выгрузить в “Файл обмена личной информацией -PKCS # 12(.PFX)”. Если вы планируете после экспорта удалить из личного хранилища ваш сертификат, то можете тут выставить соответствующую галку. Так же может выгрузить все расширения, после чего нажимаем далее.

Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.

В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.

Нажимаем далее.

Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.

Экспорт успешно выполнен.

Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:

certutil -store my

Находим поле “Серийный номер” у нужного сертификата и копируем его.

Далее пишем команду для экспорта сертификата;

certutil -exportPFX -p “12345678” my 790000fa279f2bd96421c6e2bc00010000fa27 export-cert-2.pfx

Все успешно отработало.

На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.

На этом у меня все, мы с вами разобрали алгоритм и методы по импортированию и экспортированию сертификатов в операционной системе Windows. остались вопросы или пожелания, то я жду их в комментариях. С вами был Иван Семин, автор и создатель IT портала my-sertif.ru.