Bestandsformaten

Dit artikel beschrijft de meest voorkomende standaarden en formaten bij gebruik van digitale certificaten.

Public Key Cryptography Standards (PKCS)

De Public Key Cryptography Standards (PKCS) zijn specificaties ontwikkeld door RSA Laboratories, in samenwerking met ontwikkelaars van over de hele wereld waaronder Apple, Microsoft en MIT. Het doel hiervan was het versnellen van de toepassing van public key cryptografie (PKI). Het is belangrijk dat er een standaard is voor cryptografie omdat het ervoor zorgt dat de technologie van verschillende leveranciers dezelfde taal spreekt. Op deze manier zorgt PCKS voor interoperabiliteit, wat staat voor een betere samenwerking tussen verschillende systemen en leveranciers. Je kunt PCKS specificaties tegenkomen als je een certificaat bij ons bestelt, je ontvangt dan bijvoorbeeld een p7, p10 of een p12 bestand. Deze bestandsformaten worden verder toegelicht in het bestandsformaten overzicht. Andere voorbeelden van PCKS standaarden zijn:

  • PKCS #8 (Private-Key Information Syntax Standard, deze standaard beschrijft in welke programmeertaal de informatie voor de private key wordt samengesteld.
  • PKCS #11 (Private-Key Information Syntax Standard), deze standaard beschrijft de API die Cryptoki (uit te spreken als Cryptokey) wordt genoemd, hierin worden de verschillende cryptografische tokens gedefinieerd.

Bestandsformaten en bijbehorende extensies

Een SSL Certificaat kan verschillende bestandsformaten hebben. Welk bestandsformaat je nodig hebt voor een installatie hangt af van je omgeving. Soms is het hierdoor noodzakelijk een SSL certificaat voor installatie te converteren naar het juiste bestandsformaat voor uw omgeving. In onze Knowledgebase vind je instructies voor het converteren van certificaatbestanden. Heb je nog geen certificaat? Je kunt deze online aanvragen.

Certificaat aanvragen

Extensie Naam Beschrijving
.pem Privacy-enhanced Electronic Mail Dit zijn bestanden die "-----BEGIN CERTIFICATE-----" en "-----END CERTIFICATE----- tags bevatten met als extensie .pem of .cert. Onder andere Apache en IIS webservers werken met PEM-bestanden. Het PEM formaat is een verfijning van de Base64 versleuteling, wat inhoudt dat elke regel 64 tekens lang is. Het wordt met name gebruikt in de UNIX/LINUX omgeving. Een enkel PEM bestand kan ook opgesplitst zijn in meerdere PEM bestanden, waarbij elk bestand een deel van het originele PEM bestand bevat. 

De meeste CA's leveren hun certificaten in dit formaat.
.cer Canonical Encoding Rules Een .cer bestand (kan ook .crt of .cert heten) bevat alleen het certificaat en niet de root en intermediate certificaten of de private key. Het zijn Base64 versleutelde ASCII-bestanden. De gecodeerde tekenreeks is ingesloten tussen de "----- BEGIN CERTIFICATE -----" en "----- END CERTIFICATE -----" tags.

Xolphin levert certificaten en bijgeleverde root en intermediate certificaten altijd met de bestandsextensie .crt. Ze zijn leesbaar als platte tekst met een simpele teksteditor, zoals Notepad (Kladblok). Ook leveren wij uw certificaat als tekst in de body van de mail. U kunt dit opslaan als een tekstbestand door de gecodeerde tekst - inclusief begin- en eindregels, en alle streepjes - te kopiëren naar een leeg tekstbestand. Sla het bestand op met een duidelijke naam, bijvoorbeeld www_sslcertificaten_nl.crt
.der Distinguished Encoding Rules Meestal wordt dit bestand ook als een .cer bestand weergegeven maar het kan voorkomen dat deze .der wordt genoemd. Een bestand met .der formaat bevat alleen het certificaat. Dit formaat ondersteunt geen opslag van de private key of de root en intermediate certificaten. Het verschil tussen .cer en .der zit in de restricties die zij opleggen aan de verzender. Bij .der staat de lengte van de code vast terwijl bij .cer het eindstuk van de code uitgelezen wordt en de lengte niet vaststaat en hier ook geen limiet aan gesteld wordt. Hierdoor is .der meer geschikt voor kortere gecodeerde bestanden en .cer voor grotere bestanden.
.p7b / .p7c (PKCS #7 standaard) Cryptographic Message Syntax Standard PKCS#7 bestanden bevatten de "-----BEGIN PKCS7-----" en "-----END PKCS7-----" tags en hebben als extensie .p7b of .p7c. Bestanden met deze extensies bevatten zowel het certificaat als de root en intermediate certificaten. Dit soort bestanden kan door veel servers/firewalls worden gebruikt om alles in één keer te importeren, zodat je niet de root en intermediate certificaten afzonderlijk hoeft te importeren. .p7b bestanden bevatten echter nooit de private key. Veel platformen zoals Microsoft Windows en Java Tomcat (Keytool) ondersteunen dit bestandsformaat. De certificaten van Xolphin worden in dit formaat geleverd. .p7b is de tegenhanger van .pfx en .p12, met het verschil dat laatstgenoemden wél de private key kunnen bevatten.
.pfx / .p12 (PKCS #12 standaard) Personal Information Exchange Format Bestanden met deze extensies kunnen de public key (het SSL certificaat), de root en intermediate certificaten én de private key bevatten. Omdat deze bestandsformaten de private key bevatten moeten ze beveiligd worden met een wachtwoord. Deze formaten worden gebruikt om het ​​certificaat én de private key te exporteren en importeren; bijvoorbeeld als deze gerepliceerd moeten worden naar diverse servers of om een backup te maken van het certificaat. Tegenhanger van .p7b, .p7c, .cer en .crt, die nooit de private key bevatten.


Omdat je bij Xolphin altijd zelf uw private key aanmaakt en die in je eigen bezit blijft, ontvang je van Xolphin nooit dit bestandsformaat. Handleidingen voor het aanmaken van een .pfx bestand vind je in de knowledgebase.

.csr / p10(PKCS #10) Certificate Signing Request Dit bestandstype wordt aangemaakt op de server om certificaataanvragen bij de Certification Authority (CA) in te dienen. De CSR kan base64 versleuteld worden en is ingesloten tussen de tags "----- BEGIN NEW CERTIFICATE REQUEST -----" en "----- END NEW CERTIFICATE REQUEST -----".
.crl Certificate Revocation List De lijst met ingetrokken certificaten of CRL is een bestandstype dat identificeert of een certificaat is ingetrokken of niet. Deze bestanden worden geleverd door de CA's. De client browser zal tijdens het bezoeken van een website onder https gebruik maken van het CRL Distribution Points-veld in het certificaat om de CRL te downloaden. Let op: Niet alle certificaten hebben een CRL-distribution points-veld, zoals bijvoorbeeld een self-signed certificaat. Zodra de browser de CRL informatie van het server-certificaat krijgt, downloadt die het CRL-bestand en controleert de lijst om er zeker van te zijn dat het huidige certificaat geen onderdeel is van die lijst. De CA kan de CRL ter beschikking stellen voor download naar de browser via HTTP, FTP of een ander protocol.
.key Private Key Deze bestandsindeling bevat de private key van het certificaat. Op Windows is er geen mechanisme beschikbaar voor het extraheren van de private key uit het certificaat, omdat dit niet nodig is. Met OpenSSL is het wel mogelijk om alleen de private key van het certificaat te extraheren. Als je het bestand in notepad opent, zie je dat het een Base-64 versleutelde tekenreeks is met de "----- BEGIN RSA PRIVATE KEY -----" en "----- END RSA PRIVATE KEY ----- " tags. De private key wordt tegelijkertijd aangemaakt met de CSR.

 

 

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.