私は、Windows 8.1 64 ビットの Asus X200MA ノートブックを使用しています。shellx64.efi をセキュア ブートで実行するようにセットアップしました。ファイルは独自のキー (openssl を使用して作成) で署名されており、.cer 形式の公開キーが証明書データベースに追加されると正常に実行されます。UEFI セットアップ オプションは .crt 証明書形式も受け入れますが、その場合 shellx64.efi は実行に失敗します。
公開鍵証明書に関して、.crt 形式と .cer 形式の違いは何ですか? セキュア ブート EFI の実行が .crt 証明書では失敗し、.cer では正常に実行されるのはなぜですか?
UEFI セキュア ブート セットアップのインライン ヘルプには、公開キー証明書を EFI 署名リスト / CERT X.509 (der エンコード) / CERT RSA2048 (bin) または CERT SHA256 (bin) 形式で受け入れることができると記載されています。
ありがとう。
答え1
違いはありません。どちらの拡張機能も実際には定義された何か特定のことを意味するものではなく、ほとんどの場合同じことを意味します。
X.509証明書には、1つの「メイン」ストレージ形式があり、DERただし、Base64エンコード(別名PEMエンコード)またはそうでない場合(生のDER)があります。.crtファイルは実際にはどちらか。
まず、ファイルの内容を確認します。ファイルが「-----BEGIN CERTIFICATE」で始まっている場合は、PEM でエンコードされた DER ファイルです。生のバイナリ データが含まれている場合は、生の DER ファイルである可能性が高いです。
(複数のX.509証明書が何らかのPKCS#7ファイルにパックされることもありますが、ほとんどの場合、.p7bまたは.pkcs7または何か拡張機能と同様です。