Pourquoi avons-nous besoin du fichier pfx (échange de clés)?

Question

Si nous rendons la clé privée exportable (en utilisant l'option -pe dans makecert), nous avons en théorie une clé privée exportable et une clé publique (clé publique dans le certificat) qui peuvent être transférées ou importées sur une autre machine. Donc, ma question est, pourquoi avons-nous encore besoin de créer le fichier .pfx (fichier d'échange de clés, qui contient des clés privées et publiques) - rendant la clé privée exportable dans le certificat pourrait faire tout ce que nous voulons? Tous les scénarios fichier pfx pourrait couvrir ce qui rend la clé privée exportable dans le certificat n'a pas pu atteindre?

merci à l'avance, George

Answer 1

Votre fichier PFX peut être protégé par mot, qui ajouterait une couche de protection

Answer 2

Y at-il une ligne de commande makecert vous avez trouvé qui va générer un fichier de certificat qui comprend une clé privée? Je n'ai jamais. J'ai vu quelqu'un faire allusion au fait qu'il existe une version de makecert qui peut produire des fichiers .pfx mais qui n'ont jamais vu ça.

Cela signifie que, au mieux, vous pouvez créer deux fichiers avec makecert si vous voulez un fichier de clé privée. Un pour le certificat et un pour la clé privée. Vous pouvez copier ces deux fichiers sur un autre ordinateur et les importer en utilisant makecert.

L'avantage du format de certificat .pfx est que vous pouvez combiner les deux fichiers avec le certificat et la clé privée en un seul. Ceci est plus pratique et signifie également que vous pouvez utiliser le fichier avec la classe .Net X509Certificate2 pour une utilisation avec un SslStream.

Answer 3

Le problème est que le X509 Certificate standard (le certificat) n'inclut pas la clé privée. Le certificat contient les informations de clé publique sujet (aka, la clé publique) et des informations sur le détenteur de la clé privée, mais la norme ne prend pas en charge l'inclusion de la clé privée. C'est l'idée de base de PKI - le certificat est l'information publique que vous partagez avec le monde, la clé privée est quelque chose que vous détenez en toute sécurité. Rendre une clé privée exportable dans n'importe quel mécanisme (par exemple, makecert) signifie que vous dites à ce produit que la clé peut être exportée. Il ne spécifie pas le format de fichier que vous utiliseriez pour le stocker. Un fichier pfx est un moyen de stocker la clé privée - il utilise le PKCS 12 standard. Les magasins de clés Java (* .jks) sont une autre façon de faire la même chose. La plupart des normes prises en charge par des supports ont des caractéristiques communes similaires: elles protègent la clé privée en la chiffrant. Le cryptage peut être déverrouillé à l'aide d'un mot de passe. Ils couplent la clé privée avec le certificat qui la décrit.

Answer 4

Si vous souhaitez générer un fichier PFX, vous devez avoir à la fois la clé publique x509 et le fichier de clé privée que vous pouvez générer à l'aide de la commande makecert. PFX peut être généré en utilisant la commande PVk2PFX dans laquelle vous pouvez trouver le répertoire d'installation de Microsoft SDK.