Qu'est-ce qu'un fichier Pem et en quoi diffère-t-il des autres formats de fichier de clé générés par OpenSSL ?

SSL a été autour depuis suffisamment longtemps pour penser qu'il y aurait des formats de conteneur convenus. Et vous avez raison, il y en a. Trop de normes en fait. En fin de compte, toutes ces façons différentes d'encoder la Notation Syntaxique Abstraite 1 (ASN.1) sont des façons de formater les données en lecture machine — qui se trouve être le format dans lequel les certificats x509 sont définis.

• .csr - Il s'agit d'une Demande de Signature de Certificat. Certaines applications peuvent générer ce format pour soumission à des autorités de certification. Le format réel est le PKCS10 qui est défini dans RFC 2986. Il inclut certains/tous les détails clés du certificat demandé tels que le sujet, l'organisation, l'état, etc., ainsi que la clé publique du certificat à signer. Ceux-ci sont signés par l'AC et un certificat est retourné. Le certificat retourné est le certificat public (qui inclut la clé publique mais pas la clé privée), qui lui-même peut être dans quelques formats.
• .pem - Défini dans le RFC 1422 (partie d'une série allant de 1421 à 1424), c'est un format conteneur qui peut inclure juste le certificat public (tel que dans les installations Apache, et des fichiers de certificat CA /etc/ssl/certs), ou peut inclure toute une chaîne de certificats incluant clé publique, clé privée, et certificats racine. De manière confuse, il peut également encoder une CSR (par exemple tel que utilisé ici) car le format PKCS10 peut être traduit en PEM. Le nom vient de Privacy Enhanced Mail (PEM), une méthode échouée pour les e-mails sécurisés mais le format conteneur qu'il utilisait perdure, et est une traduction en base64 des clés x509 ASN.1.
• .key - Ceci est un fichier formaté (habituellement) PEM contenant juste la clé privée d'un certificat spécifique et est simplement un nom conventionnel et non standardisé. Dans les installations Apache, cela réside fréquemment dans /etc/ssl/private. Les droits sur ces fichiers sont très importants, et certains programmes refuseront de charger ces certificats s'ils sont incorrectement configurés.
• .pkcs12 .pfx .p12 - Défini à l'origine par RSA dans les Standards de Cryptographie à Clé Publique (abrégé PKCS), la variante "12" a été à l'origine améliorée par Microsoft, et plus tard soumise en tant que RFC 7292. C'est un format conteneur protégé par mot de passe qui contient à la fois des paires de certificats publics et privés. Contrairement aux fichiers .pem, ce conteneur est entièrement chiffré. Openssl peut convertir ceci en un fichier .pem avec à la fois les clés publiques et privées: openssl pkcs12 -in fichier-a-convertir.p12 -out fichier-converti.pem -nodes

Quelques autres formats qui apparaissent de temps en temps:

• .der - Une façon d'encoder la syntaxe ASN.1 en binaire, un fichier .pem est juste un fichier .der encodé en Base64. OpenSSL peut convertir ces fichiers en .pem (openssl x509 -inform der -in a-convertir.der -out converti.pem). Windows voit ceux-ci comme des fichiers de Certificat. Par défaut, Windows exportera les certificats sous forme de fichiers formatés .DER avec une extension différente. Comme...
• .cert .cer .crt - Un fichier formaté .pem (ou rarement .der) avec une extension différente, une extension que Windows Explorer reconnait comme un certificat, ce que .pem n'est pas.
• .p7b .keystore - Défini dans RFC 2315 comme le PKCS numéro 7, c'est un format utilisé par Windows pour l'interopérabilité des certificats. Java comprend ceux-ci nativement, et utilise souvent .keystore comme une extension à la place. Contrairement aux certificats de style .pem, ce format a une façon définie d'inclure des certificats de chemin de certification.
• .crl - Une liste de révocation de certificats. Les Autorités de Certification produisent ceci comme moyen de révoquer des certificats avant leur expiration. Vous pouvez parfois les télécharger depuis les sites web des AC.

En résumé, il y a quatre façons différentes de présenter des certificats et leurs composants:

• PEM - Gouverné par des RFCs, utilisé de manière préférentielle par les logiciels open-source car il est basé sur du texte et donc moins sujet aux erreurs de traduction/transmission. Il peut avoir une variété d'extensions (.pem, .key, .cer, .cert, et plus)
• PKCS7 - Un standard ouvert utilisé par Java et supporté par Windows. Ne contient pas de matériel de clé privée.
• PKCS12 - Un standard privé de Microsoft qui a plus tard été défini dans un RFC offrant une sécurité renforcée par rapport au format PEM en texte brut. Cela peut contenir du matériel de clé privée et de chaîne de certificats. Il est utilisé de manière préférentielle par les systèmes Windows, et peut être librement converti en format PEM grâce à l'utilisation de openssl.
• DER - Le format parent de PEM. Il est utile de le considérer comme une version binaire du fichier PEM encodé en base64. Il n'est pas couramment utilisé en dehors de Windows.

J'espère que cela vous aide.