OpenSslPKCS12 » Cronologia » Versione 11
« Precedente |
Versione 11/13
(diff)
| Successivo »
Simone Piccardi, 03-01-2024 18:08
Come estrarre CA, Certificati e chiavi da un file PKCS12 o PFX¶
È necessario avere installato OpenSSL nel proprio sistema, questo si può fare con:
apt-get install openssl
si ricordi che l'estrazione della chiave su un file ne rimuove la password, si abbia cura di farla in una directory non leggibile da terzi o di predisporre una opportuna umask. Si aggiustino poi i permessi dei file se li si devono spostare (600/640 per la chiave, 644 per i certificati).
Estrazione da un file .p12 (PKCS12)¶
Quando si vogliono utilizzare i dati di un certificato PKCS12 con di programmi che utilizzano il formato PEM per chiavi e certificati SSL (come usuale per demoni di sistema come Apache, Postfix, Nginx, ecc.) occorre estrarli esplicitamente.
Estrazione del certificato:¶
openssl pkcs12 -clcerts -nokeys -in mycert.p12 -out usercert.pem
Estrazione della chiave:¶
openssl pkcs12 -nocerts -in mycert.p12 -out userkey.pem
Estrazione del certificato della CA:¶
openssl pkcs12 -nokeys -nodes -cacerts -in mycert.p12 -out cacert.pem
Cambiamento della password su un certificato PKCS12¶
Deve essere fatto in due passi, prima deve essere estratto il contenuto del certificato PKCS12 su un file .pem
con:
openssl pkcs12 -in originale.p12 -out temp.pem -nodes
verrà chiesta la password originale, data la quale tutti dati verranno salvati senza password su temp.pem
, a questo punto lo si potrà rigenerare con una password diversa con:
openssl pkcs12 -export -in temp.pem -out nuovo.p12
si dovrà immettere la nuova password due volte (la seconda per conferma). Per avere un certificato senza password si prema due volte invio. Completato il cambiamento si cancellino i file che non servono più (compreso il temporaneo).
Estrazione da un file .pfx¶
Estrazione del certificato:¶
openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem
chiederà la passphrase del certificato e creerà il file cert.pem
col certificato.
Estrazione della chiave:¶
Quando si deve estrarre la chiave (privata) da un file .pfx
occorrerà passare dall'esportazione dei dati:
openssl pkcs12 -in certificate.pfx -nocerts -out key.pem -nodes
chiederà la passphrase del certificato e creerà il file key.pem
con dentro chiave e certificato, poi per ottenere la sola chiave occorrerà:
openssl rsa -in key.pem -out server.key
Aggiornato da Simone Piccardi 11 mesi fa · 11 revisions