Beschreibung der verschiedenen Zertifikat-Formate

X.509 Zertifikate sind grundsätzlich im Distinguished Encoding Rules (DER) Format kodiert. Hierbei handelt es sich um ein binäres, maschinenlesbares Format.

DER-kodierte Zertifikate können jedoch mit dem BASE64 Verfahren auch in ein textbasiertes Format überführt werden, sodass sie beispielsweise in einem E-Mail Body übertragen werden können. BASE64 umschließt hierbei das DER-kodierte Format, d.h. das Zertifikat ist und bleibt in jedem Fall DER-kodiert.

In der Praxis werden für Zertifikate Dateien mit verschiedenen Dateiendungen verwendet. Nachfolgend werden die gängigsten kurz beschrieben.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dateiendung	Inhalt
.der	Binäres (DER kodiert) Zertifikat.
.pem	Zertifikat im Textformat (BASE64 kodiertes DER).
.cer, .crt	Können sowohl als DER oder auch als BASE64-kodiertes DER vorliegen.
.p7b	PKCS#7 Container, welcher mehrere Zertifikate enthalten kann, die sowohl als DER oder auch als BASE64-kodiertes DER vorliegen können. Somit kann beispielsweise eine gesamte Zertifikatkette innerhalb nur einer Datei übermittelt werden (beispielsweise in der GetCACert Operation im SCEP-Protokoll).

Somit verbleiben letzendlich drei Möglichkeiten, ein Zertifikat zu verpacken (DER, BASE64 oder PKCS#7). Genau diese drei Optionen werden auch vom Zertifikat-Export-Dialog angeboten.

Beispiele

Ein DER-kodiertes Zertifikat wird mit einem Texteditor geöffnet

Ein BASE64 verpacktes DER-kodiertes Zertifikat wird mit einem Texteditor geöffnet

Die Windows-Darstellung einer PKCS#7 Zertifikatkette

Weiterführende Links:

Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Externe Quellen

A Layman’s Guide to a Subset of ASN.1, BER, and DER (RSA Laboratories)
RFC 7468 – Textual Encodings of PKIX, PKCS, and CMS Structures (Internet Engineering Task Force)
What is PEM Format? (DigiCert)
PKCS 7 – Wikipedia
BASE64 – Wikipedia

Beispiele

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Beschreibung der verschiedenen Zertifikat-Formate“