Получение ssl сертификата для сайта: Обзор бесплатных SSL-сертификатов – База знаний Timeweb Community

В этом посте описываются шаги, необходимые для настройки автоматического создания и обновления сертификатов SSL, с использованием Let’s Encrypt в качестве автоматического центра сертификации, который обеспечивает поддерживаемый API.
acme-dns-route53 — это инструмент для получения сертификатов SSL от Let Encrypt с использованием DNS-01, вызов с Route53 и Amazon Certificate Manager от AWS. acme-dns-route53 также имеет встроенную функциональность для использования этого инструмента в AWS Lambda, и это то, что мы собираемся сделать.

Этот пост разбит на 4 раздела:

• создать автономный, развертываемый zip-файл
• создание роли IAM для лямбда-функции, которая дает ей необходимые разрешения для выполнения
• создание лямбда-функции, которая выполняет acme-dns-route53
• создание таймера CloudWatch, который запускает лямбда-функцию дважды в день

Примечание: перед запуском убедитесь, что GoLang 1.9+ и AWS CLI уже установлены.

Создан автономный, развертываемый zip-файл

acme-dns-route53 написан на GoLang и поддерживает версию не ниже 1.9. Нам нужно создать автономный, развертываемый zip-файл, который содержит исполняемый файл acme-dns-route53 .

Первым шагом является создание исполняемого файла из удаленного репозитория GitHub из acme-dns-route53 , используя команду go install :

  $ env GOOS = linux GOARCH = amd64 go install github.com / begmaroman / acme-dns-route53  

Исполняемый файл будет установлен в каталог $ GOPATH / bin . Важное замечание: как часть этой команды мы используем env для временной установки двух переменных среды на время выполнения команды ( GOOS = linux и GOARCH = amd64 ). Они инструктируют компилятору Go создавать исполняемый файл, подходящий для использования с ОС Linux и архитектурой amd64 — на чем он будет работать, когда мы развернем его в AWS.
AWS требует, чтобы мы загрузили наши лямбда-функции в zip-файл, поэтому давайте сделаем acme-dns-route53.zip zip-файл, содержащий только что созданный исполняемый файл:

  $ zip -j ~ / acme-dns-route53.zip $ GOPATH / bin / acme-dns-route53  

Обратите внимание, что исполняемый файл должен находиться в корне zip-файл — не в папке внутри zip-файла. Чтобы убедиться в этом, я использовал флаг -j в приведенном выше фрагменте для нежелательных имен каталогов.

Теперь zip-файл можно развернуть, но для его работы все еще требуются разрешения.

Создание роли IAM для лямбда-функции, которая дает ей необходимые разрешения для выполнения

Нам нужно настроить роль IAM, которая определяет разрешение, которое будет иметь наша лямбда-функция при ее запуске.
А пока давайте настроим роль lambda-acme-dns-route53-executor и прикрепим к ней управляемую политику AWSLambdaBasicExecutionRole . Это даст нашей лямбда-функции базовые разрешения, необходимые для запуска и входа в сервис AWS CloudWatch.
Сначала мы должны создать файл JSON политики доверия. По сути, это будет указывать AWS, чтобы разрешить службам lambda принимать роль lambda-acme-dns-route53-executor :

  $ touch ~ / lambda-acme-dns-route53-executor-policy.json  

Содержимое созданного файла JSON должно быть следующим:

  {
    «Версия»: «2012-10-17»,
    "Утверждение": [
        {
            «Эффект»: «Разрешить»,
            «Действие»: [
                "Входит: CreateLogGroup"
            ],
            «Ресурс»: «arn: aws: logs: : : *»
        },
        {
            «Эффект»: «Разрешить»,
            «Действие»: [
                "журналы: PutLogEvents",
                "Входит: CreateLogStream"
            ],
            «Ресурс»: «arn: aws: журналы: : : группа журналов: / aws / lambda / acme-dns-route53: *»
        },
        {
            "Сид": "",
            «Эффект»: «Разрешить»,
            «Действие»: [
                "route53: ListHostedZones",
                "Cloudwatch: PutMetricData",
                "АСМ: ImportCertificate",
                "ACM: ListCertificates"
            ],
            "Ресурс": "*"
        },
        {
            "Сид": "",
            «Эффект»: «Разрешить»,
            «Действие»: [
                "SNS: Опубликовать",
                "Route53: GetChange",
                "route53: ChangeResourceRecordSets",
                "АСМ: ImportCertificate",
                "АСМ: DescribeCertificate"
            ],
            «Ресурс»: [
                "ARN: AWS: с.н.с.: : : ",
                "ARN: AWS: route53 ::: hostedzone / *",
                "ARN: AWS: route53 ::: изменение / *",
                "ARN: AWS: ACM: : : сертификат / *"
            ]
        }
    ]
}  

Затем с помощью команды aws iam create-role создайте роль с помощью этой политики доверия:

  $ aws iam create-role --role-name lambda-acme-dns-route53-executor \
 --assume-role-policy-document ~ / lambda-acme-dns-route53-executor-policy.json  

Запишите возвращенный ARN (имя ресурса Amazon) — это понадобится вам на следующем шаге.

Теперь создана роль lambda-acme-dns-route53-executor , нам нужно указать разрешения, которые имеет эта роль. Самый простой способ сделать это — использовать команду aws iam attach-role-policy-policy , передав ARN-код AWSLambdaBasicExecutionRole , например:

  $ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \
--policy-arn arn: aws: iam :: aws: policy / service-role / AWSLambdaBasicExecutionRole  

Примечание: здесь вы можете найти список других политик разрешений, которые могут быть полезны.

Создание лямбда-функции, которая выполняет acme-dns-route53

Теперь мы готовы развернуть лямбда-функцию в AWS, что мы можем сделать с помощью команды aws lambda create-function . Лямбда-функция должна быть настроена со следующими параметрами:

• AWS_LAMBDA переменная среды со значением 1 , которая настраивает инструмент для использования внутри лямбда-функции.
• ДОМЕНЫ — это переменная среды, которая содержит разделенный запятыми список доменов, для которых будут выдаваться сертификаты.
• LETSENCRYPT_EMAIL — это переменная среды, которая содержит письмо об истечении срока действия Let Encrypt.
• NOTIFICATION_TOPIC — это переменная среды, которая содержит тему уведомления SNS ARN.
• STAGING — это переменная среды, которая должна содержать значение 1 для использования промежуточной среды Let Encrypt или 0 для производственной среды.
• RENEW_BEFORE — это количество дней, определяющих период до истечения срока, в течение которого сертификат должен быть продлен.
• 1024 МБ — лимит памяти (может быть изменен при необходимости).
• 900 секунд (15 минут) — максимальное время ожидания.
• acme-dns-route53 — имя обработчика лямбда-функции.
• fileb: //~/acme-dns-route53.zip — это созданный файл .zip выше.

Попробуйте и разверните его:

  $ aws lambda create-function \
 --function-name acme-dns-route53 \
 --runtime go1.Икс \
 --role arn: aws: iam :: : роль / lambda-acme-dns-route53-executor \
 --environment Variables = "{AWS_LAMBDA = 1, DOMAINS = \" example1.com, example2.com \ ", LETSENCRYPT_EMAIL = begmaroman @ gmail.com, STAGING = 0, NOTIFICATION_TOPIC = acme-dns-route53-полученный, RENEW_BEFORE = 7 } "\
 - размер памяти 1024 \
 - время ожидания 900 \
 --handler acme-dns-route53 \
 --zip-файл fileb: //~/acme-dns-route53.zip

 {
     "FunctionName": "acme-dns-route53",
     «LastModified»: «2019-05-03T19: 07: 09.325 + 0000»,
     "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
     «MemorySize»: 1024,
     "Окружающая среда": {
         «Переменные»: {
            "ДОМЕНЫ": "пример1.ком, example2.com»,
            «STAGING»: «1»,
            "LETSENCRYPT_EMAIL": "[email protected]",
            "NOTIFICATION_TOPIC": "acme-dns-route53-полученный",
            "RENEW_BEFORE": "7",
            "AWS_LAMBDA": "1"
         }
     },
     "Версия": "$ LATEST",
     "Роль": "arn: aws: iam :: : роль / lambda-acme-dns-route53-executor",
     «Тайм-аут»: 900,
     "Runtime": "go1.x",
     "TracingConfig": {
         "Mode": "PassThrough"
     },
     "CodeSha256": "+ 2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw =",
     "Описание": "",
     "CodeSize": 8456317,
"FunctionArn": "arn: aws: lambda: us-east-1: : function: acme-dns-route53",
     «Обработчик»: «acme-dns-route53»
 }  

Создание таймера CloudWatch, который запускает лямбда-функцию один раз в день.

Последний шаг — создание ежедневного триггера для функции.Для этого мы можем:

• создайте правило CloudWatch с нужным schedule_expression (когда оно должно выполняться).
• создайте цель правила (что должно выполняться), указав ARN лямбда-функции.
• дает разрешение правилу CloudWatch для вызова лямбда-функции.

Я вставил свою конфигурацию Terraform для нее ниже, но это также очень просто сделать с консоли AWS или CLI.

  # Правило события Cloudwatch, которое запускает acme-dns-route53 lambda каждые 12 часов
ресурс "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
  name = "acme-dns-route53-эмитент-планировщик"
  schedule_expression = "cron (0 * / 12 * *? *)"
}

# Укажите лямбда-функцию для запуска
ресурс "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
  rule = "$ {aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}»
  arn = "$ {aws_lambda_function.acme_dns_route53.arn}"
}

# Дайте CloudWatch разрешение на вызов функции
ресурс "aws_lambda_permission" "разрешение" {
  action = "lambda: InvokeFunction"
  имя_функции = "$ {aws_lambda_function.acme_dns_route53.function_name}"
  принципал = "events.amazonaws.com"
  source_arn = "$ {aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}  

Теперь вы также можете иметь 100% автоматическое обновление сертификатов TLS!

Как получить сертификат HTTPS для вашего сайта

17% опрошенных компаний улучшат безопасность своего сайта. Выполните следующие 5 шагов, чтобы защитить все ваши передачи данных с помощью сертификата HTTPS для вашего сайта.

Безопасная передача данных клиентов имеет решающее значение для успеха бизнеса. Недавние исследования показывают, что угрозы безопасности растут, и 17% малых предприятий планируют повысить уровень безопасности в Интернете. Идеальное место для начала — защитить ваши пользовательские данные с помощью HTTPS.

HTTPS — безопасный протокол передачи гипертекста — это безопасная версия протокола автоматической передачи данных HTTP, найденная в вашем URL.

HTTPS — это единственный способ обеспечить автоматическое шифрование всех данных, отправляемых на ваш сервер и с него.

Использование HTTPS означает, что:

• Посетители могут подтвердить, что вы являетесь зарегистрированным владельцем домена
• Информация о клиенте зашифрована и не может быть перехвачена (номера кредитных карт, пароли и т. Д.)
• Клиенты с большей вероятностью будут доверять и совершать покупки на вашем сайте благодаря безопасности HTTPS

Как определить, какие веб-сайты и страницы безопасны? Вместо http: // в URL ищите https: //.

Google Chrome и Firefox также отображаются при использовании HTTPS с помощью значка блокировки, показанного здесь.

Также известный как SSL (уровни защищенных сокетов), этот безопасный процесс передачи предотвращает доступ хакеров к информации и защищает конфиденциальные данные пользователя.

Даже если сетевое соединение нарушено, злоумышленнику все равно необходимо расшифровать данные, которые передаются между браузером и веб-сайтом.

К счастью, настроить HTTPS (он же SSL) сертификат очень просто. Выполните следующие 5 шагов, чтобы зашифровать передачу данных и перейти к безопасности в Интернете:

1. Переключение на выделенный IP-адрес
2. Получите сертификат HTTPS
3. Актив сертификат HTTPS
4. Установите сертификат HTTPS
5. Обновите свой сайт для использования HTTPS

1.Переключиться на выделенный IP-адрес

Выделенный IP-адрес — это интернет-адрес, назначаемый исключительно учетной записи хостинга вашего предприятия.

Для сравнения: учетные записи общего хостинга, предоставляемые планами веб-хостинга, например, через GoDaddy, заставляют вас использовать IP-адрес сервера. Когда несколько сайтов используют одно и то же местоположение, вы не можете быть уверены, что трафик сервера является безопасным или вашим собственным.

Вы можете попросить веб-хостинга обновить вашу учетную запись до выделенного IP-адреса.Это потребует небольшой платы, но IP-адрес бизнес-уровня — это первый шаг к защите пользовательских данных на вашем сайте.

2. Получить сертификат HTTPS

HTTPS-сертификат (также называемый SSL-сертификатом) похож на идентификационную карту вашего сайта. Доказывает серверу, что ваш сайт — это ваш сайт.

HTTPS-сертификат — это фактически абзац цифр и букв, уникальный для вашего домена. Когда кто-то посещает ваш сайт через HTTPS, сертификат проверяется.

При совпадении все данные, поступающие на ваш веб-сайт и с него, впоследствии шифруются.

Вы можете получить сертификат HTTPS одним из трех способов:

• Платные сертификаты HTTPS : Вы можете заплатить коммерческому центру сертификации (CA) или вашей хостинговой компании за приобретение сертификата HTTPS. За небольшую плату вы получите дополнительное преимущество технической поддержки во время установки.
• Облачные сертификаты HTTPS : Облачные провайдеры, такие как сети доставки контента (CDN) и межсетевые экраны приложений веб-сайтов (WAF), также могут предоставить вам преимущества сертификата.Такие сервисы, как Securi, выступают в качестве прокси-сервера для вашего сайта, направляя записи вашего домена на их серверы и отфильтровывая любой вредоносный трафик.
• Бесплатные сертификаты HTTPS : Вы можете создать сертификат для своего сайта самостоятельно. Открытые центры сертификации, такие как Let Encrypt, позволяют создавать и устанавливать собственный сертификат HTTPS, следуя их инструкциям.

Хотите создать бесплатный сертификат HTTPS?

Вам понадобится следующая информация о вашем сервере:

• IP-адрес
• Имя пользователя сервера (с правами администратора)
• Пароль пользователя (или аутентификация по ключу SSH)
• Тип программного обеспечения
• Операционная система

Вы можете связаться с вашим веб-хостинга для любой недостающей информации.

Получив необходимую информацию, подключитесь к своему серверу и установите инструмент, который сгенерирует для вас сертификат HTTPS / SSL.

Этот инструмент позволит вашему компьютеру отправлять команды SSH. Это зашифрованные протоколы, используемые для доступа к защищенному серверу из небезопасного местоположения.

Это позволяет вам вносить изменения в сервер и без риска получать доступ к своему сертификату HTTPS.

Вот пример вашего сертификата:

Mac могут использовать встроенное приложение под названием Terminal for SSH.Пользователи Windows могут загрузить приложение под названием PuTTY или Certbot.

Установив приложение, вы можете подключиться к серверу по SSH, используя свой IP-адрес, имя пользователя и пароль.

Затем следуйте инструкциям в приложении, чтобы сгенерировать свой сертификат и автоматизировать продление сертификата (чтобы вам не пришлось повторять этот процесс).

3. Активируйте сертификат HTTPS

Ваш веб-хостинг должен выполнить этот шаг для вас. Активация сертификата займет 1-2 дня.

Если вы хотите активировать сертификат самостоятельно, вам необходимо сгенерировать CSR или запрос на подпись сертификата.

Это блок закодированного текста, который выдается Центру сертификации при подаче заявки на сертификат HTTPS. Он содержит коды ключей для публичного и частного доступа к вашему сайту.

Чтобы создать сертификат, перейдите на панель управления веб-хостинга.

В области администрирования SSL / TLS вы получите

SSL и SSL-сертификатов для начинающих

Secure Sockets Layer (SSL) и Безопасность транспортного уровня (TLS) — это протоколы, которые обеспечивают безопасную связь через компьютерную сеть или канал связи.

Они обычно используются в веб-браузере и электронной почте.

В этом уроке мы посмотрим:

• TLS и SSL
• открытых и закрытых ключей
• Почему нам нужны сертификаты и что они делают
• Как получить цифровой сертификат и понять различные распространенные типы сертификатов.

Что такое TLS

TLS основан на SSL и был разработан в качестве замены в ответ на известные уязвимости в SSLv3.

SSL — это широко используемый термин, и сегодня он обычно относится к TLS.

Обеспечение безопасности

SSL / TLS обеспечивает шифрование данных, целостность данных и аутентификацию.

Это означает, что при использовании SSL / TLS вы можете быть уверены, что

• Никто не прочитал ваше сообщение
• Никто не изменил ваше сообщение
• Вы общаетесь с намеченным лицом (сервером)

При отправке сообщения между двумя сторонами возникают две проблемы, которые необходимо решить.

• Откуда ты знаешь, что никто не прочитал сообщение?
• Откуда ты знаешь, что никто не изменил сообщение?

Решения этих проблем:

• Зашифруйте это. — Это делает контент нечитаемым, так что для любого, кто просматривает сообщение, это просто бред.
• Подпишите его — это позволяет получателю быть уверенным, что вы отправили сообщение и что сообщение не было изменено.

Оба этих процесса требуют использования ключей.

Эти ключи являются просто числами (128-битными являются общими), которые затем объединяются с сообщением с использованием определенного метода, обычно известного как алгоритм, например RSA, чтобы зашифровать или подписать сообщение.

Симметричные ключи и публичные и частные ключи

Практически все используемые сегодня методы шифрования используют открытых и закрытых ключей .

Они считаются гораздо более безопасными, чем старые симметричные ключи.

С симметричным ключом ключ используется для шифрования или подписи сообщения, а тот же ключ используется для дешифрования сообщения.

Это то же самое, что ключи (двери, ключи от машины), с которыми мы имеем дело в повседневной жизни.

Проблема с этим типом расположения ключей заключается в том, что если вы потеряете ключ, любой, кто найдет его, сможет открыть вашу дверь.

При использовании открытых и закрытых ключей используются двух ключей, которые математически связаны (они принадлежат паре ключей ), но различаются.

Это означает, что сообщение , зашифрованное открытым ключом , не может быть дешифровано тем же открытым ключом .

Для расшифровки сообщения требуется закрытый ключ .

Если бы этот тип расположения клавиш использовался с вашим автомобилем. Затем вы можете заблокировать автомобиль и оставить ключ в замке, так как тот же ключ не может разблокировать автомобиль.

Этот тип расположения ключей очень безопасен и используется во всех современных системах шифрования / подписи.

ключей и SSL-сертификатов

SSL / TLS используют систему с открытым и закрытым ключом для шифрования данных и целостности данных.

Открытые ключи могут быть доступны любому, отсюда и термин открытый.

В связи с этим возникает вопрос доверия, а именно:

Как вы узнаете, что конкретный открытый ключ принадлежит тому лицу / объекту, к которому он относится?

Например, вы получаете ключ, претендующий на принадлежность вашему банку.

Откуда вы знаете, что он принадлежит вашему банку?

Ответ на использовать цифровой сертификат.

Сертификат служит той же цели, что и паспорт в повседневной жизни.

Паспорт установил связь между фотографией и человеком, и эта связь была проверена доверенным органом (паспортный стол).

Цифровой сертификат обеспечивает связь между открытым ключом и объектом (бизнес, доменное имя и т. Д.), Который был проверен ( подписан ) доверенной третьей стороной (центр сертификации )

Цифровой сертификат предоставляет удобный способ распространения доверенных открытых ключей шифрования .

Получение цифрового сертификата

Вы получаете цифровой сертификат от признанного центра сертификации (CA). Также как вы получаете паспорт в паспортном столе.

На самом деле процедура очень похожа.

Вы заполняете соответствующие формы, добавляете свои открытые ключи (они просто цифры) и отправляете их / их в центр сертификации. (это запрос сертификата )

Центр сертификации выполняет некоторые проверки (зависит от полномочий) и отправляет обратно ключи, включенные в сертификат .

Сертификат подписан , выдавшим центр сертификации , и это гарантирует ключи.

Теперь, когда кому-то нужны ваши открытые ключи, вы отправляете им сертификат, они проверяют подпись на сертификате, и если он проверяет, то они могут доверять вашим ключам .

Пример использования

Для иллюстрации рассмотрим типичный веб-браузер и соединение с веб-сервером с использованием SSL . ( https ).

Это соединение используется в Интернете для отправки электронной почты в Gmail и т. Д., А также при осуществлении банковских операций в Интернете, покупках и т. Д.

1. Браузер подключается к серверу с использованием SSL (https)
2. Сервер отвечает сертификатом сервера, содержащим открытый ключ веб-сервера.
3. Браузер проверяет сертификат, проверяя подпись CA. Для этого сертификат CA должен находиться в доверенном хранилище браузера (см. Далее)
Браузер
4. использует этот открытый ключ для согласования сеансового ключа с сервером.
5. Веб-браузер и сервер шифруют данные через соединение, используя сеансовый ключ .

Вот видео, которое более подробно описывает вышесказанное:

Типы цифровых сертификатов

Если вы пытаетесь приобрести сертификат для веб-сайта или использовать для шифрования MQTT, вы столкнетесь с двумя основными типами:

• Сертификаты, подтвержденные доменом (DVC)
• Сертификаты расширенной проверки (EVC)

Разница между этими двумя типами заключается в степени доверия к сертификату, который проходит более строгую проверку.

Уровень шифрования, который они предоставляют, идентичен

Сертификат , подтвержденный доменом ( DV ), является цифровым сертификатом X.509 , обычно используемым для безопасности транспортного уровня (TLS), где удостоверение кандидата было подтверждено путем подтверждения некоторого контроля над доменом DNS.- Вики

Процесс проверки обычно полностью автоматизирован, что делает их самой дешевой формой сертификата. Они идеально подходят для использования на веб-сайтах, таких как этот сайт, которые предоставляют контент, и не используются для конфиденциальных данных.

Расширенный сертификат проверки (EV) — это сертификат, используемый для веб-сайтов HTTPS и программного обеспечения, подтверждающий юридическое лицо, контролирующее веб-сайт или пакет программного обеспечения. Получение сертификата EV требует проверки личности запрашивающего объекта центром сертификации (CA).

Они, как правило, дороже, чем сертификаты, подтвержденные доменом, поскольку они включают ручную проверку.

Ограничения на использование сертификата — подстановочные знаки и SAN

Обычно сертификат действителен для использования на одном полностью определенном доменном имени ( FQDN ).

Это сертификат, приобретенный для использования на www.mydomain.com нельзя использовать на mail..mydomain.com или www.otherdomain.com.

Однако если вам необходимо защитить несколько поддоменов, а также имя основного домена, вы можете приобрести сертификат Wildcard.

Подстановочный сертификат охватывает всех поддоменов под конкретным доменным именем.

Например, подстановочный сертификат для *.mydomain.com можно использовать на:

• mail.mydomain.com
• www.mydomain.com
• ftp.mydomain.com
• и т. Д.

Его нельзя использовать для защиты как mydomain.com , так и myotherdomain.com .

Чтобы покрыть несколько разных доменных имен в одном сертификате, вы должны приобрести сертификат с SAN (Subject Alternative Name).

Они обычно позволяют защитить 4 дополнительных доменных имени в дополнение к основному доменному имени.Например, вы можете использовать тот же сертификат на:

• www.mydomain.com
• www.mydomain.org
• www.mydomain.net
• www.mydomain.co
• www.mydomain.co.uk

Вы также можете изменить охватываемое доменное имя, но потребуется переиздание сертификата.

Зачем использовать коммерческие сертификаты?

очень легко создать свои собственные сертификаты SSL и ключи шифрования с помощью бесплатных программных инструментов.

Эти ключи и сертификаты так же безопасны, как и коммерческие, , и в большинстве случаев их можно считать еще более безопасными.

Коммерческие сертификаты необходимы, когда вам нужна широкая поддержка для вашего сертификата.

Это связано с тем, что поддержка основных коммерческих центров сертификации встроена в большинство веб-браузеров и операционных систем.

Если я установил свой собственный самогенерируемый сертификат на этом сайте при посещении, вы увидите сообщение, подобное приведенному ниже, в котором говорится, что сайт не является доверенным.

===============

кодировки сертификатов и файловых расширений

Сертификаты могут быть закодированы как:

• Двоичные файлы
• ASCII (base64) файлы

Распространенные расширения файлов:

• .DER
• .PEM (электронная почта повышенной конфиденциальности)
• .CRT
• .CERT

Примечание: Нет реальной корреляции между расширением файла и кодировкой.Это означает, что файл .crt может быть либо кодированным файлом .der , либо файлом .pem .

Вопрос — Как узнать, есть ли у вас файл в кодировке .der или .pem ?

Ответ — Вы можете использовать openssl tools , чтобы найти тип кодировки и конвертировать между кодировками. Посмотрите этот урок — DER против CRT против CER против сертификатов PEM

Примеры сертификатов

Потому что .Сертификаты в кодировке pem — это файлы ASCII, которые можно прочитать с помощью простого текстового редактора.

Важно отметить, что они начинаются и заканчиваются строками Begin Certificate и End Certificate .

 mosquitto_pub --cafile /etc/ssl/certs/ca-certificates.crt

или

mosquitto_pub --capath / etc / ssl / certs /