OpenSslPKCS12 » Cronologia » Versione 12
Simone Piccardi, 05-07-2024 09:30
| 1 | 12 | Simone Piccardi | h1. Come estrarre CA, Certificati e chiavi da un file PKCS#12/PFX |
|---|---|---|---|
| 2 | 1 | Amministratore Truelite | |
| 3 | 12 | Simone Piccardi | I certificati SSL/TLS possono avere diversi formati ed estensioni, ma ad oggi i più comuni sono il PEM, usato dalla gran parte dei server che forniscono i servizi di rete, che consente di usare file separati per chiavi e cerfificati, ed il PKCS#12 (talvolta chiamato PFX) usati prevalentemente nel mondo Windows. Questi ultimi sono in un formato binario, e prevedono l'utilizzo di un singolo file in cui sono contenuti il certificato finale, eventuali certificati intermedi e la chiave. |
| 4 | 6 | Simone Piccardi | |
| 5 | 1 | Amministratore Truelite | |
| 6 | 7 | Simone Piccardi | h2. Estrazione da un file .p12 (PKCS12) |
| 7 | 1 | Amministratore Truelite | |
| 8 | 9 | Simone Piccardi | Quando si vogliono utilizzare i dati di un certificato PKCS12 con di programmi che utilizzano il formato PEM per chiavi e certificati SSL (come usuale per demoni di sistema come Apache, Postfix, Nginx, ecc.) occorre estrarli esplicitamente. |
| 9 | |||
| 10 | 7 | Simone Piccardi | h3. Estrazione del certificato: |
| 11 | |||
| 12 | 1 | Amministratore Truelite | <pre> |
| 13 | openssl pkcs12 -clcerts -nokeys -in mycert.p12 -out usercert.pem |
||
| 14 | </pre> |
||
| 15 | |||
| 16 | h3. Estrazione della chiave: |
||
| 17 | 4 | Amministratore Truelite | |
| 18 | 7 | Simone Piccardi | <pre> |
| 19 | 1 | Amministratore Truelite | openssl pkcs12 -nocerts -in mycert.p12 -out userkey.pem |
| 20 | </pre> |
||
| 21 | 12 | Simone Piccardi | |
| 22 | si ricordi che l'estrazione della chiave su un file ne rimuove la password, si abbia cura di farla in una directory non leggibile da terzi o di predisporre una opportuna umask. Si aggiustino poi i permessi dei file se li si devono spostare (600/640 per la chiave, 644 per i certificati). |
||
| 23 | 4 | Amministratore Truelite | |
| 24 | 7 | Simone Piccardi | h3. Estrazione del certificato della CA: |
| 25 | 1 | Amministratore Truelite | |
| 26 | <pre> |
||
| 27 | openssl pkcs12 -nokeys -nodes -cacerts -in mycert.p12 -out cacert.pem |
||
| 28 | </pre> |
||
| 29 | 6 | Simone Piccardi | |
| 30 | 9 | Simone Piccardi | |
| 31 | 6 | Simone Piccardi | h3. Cambiamento della password su un certificato PKCS12 |
| 32 | 1 | Amministratore Truelite | |
| 33 | 9 | Simone Piccardi | Deve essere fatto in due passi, prima deve essere estratto il contenuto del certificato PKCS12 su un file @.pem@ con: |
| 34 | 6 | Simone Piccardi | |
| 35 | <pre> |
||
| 36 | openssl pkcs12 -in originale.p12 -out temp.pem -nodes |
||
| 37 | 1 | Amministratore Truelite | </pre> |
| 38 | 6 | Simone Piccardi | |
| 39 | 9 | Simone Piccardi | verrà chiesta la password originale, data la quale tutti dati verranno salvati senza password su @temp.pem@, a questo punto lo si potrà rigenerare con una password diversa con: |
| 40 | 1 | Amministratore Truelite | |
| 41 | <pre> |
||
| 42 | openssl pkcs12 -export -in temp.pem -out nuovo.p12 |
||
| 43 | </pre> |
||
| 44 | |||
| 45 | 9 | Simone Piccardi | si dovrà immettere la nuova password due volte (la seconda per conferma). Per avere un certificato senza password si prema due volte invio. Completato il cambiamento si cancellino i file che non servono più (compreso il temporaneo). |
| 46 | 7 | Simone Piccardi | |
| 47 | h2. Estrazione da un file .pfx |
||
| 48 | |||
| 49 | h3. Estrazione del certificato: |
||
| 50 | |||
| 51 | <pre> |
||
| 52 | openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem |
||
| 53 | </pre> |
||
| 54 | 1 | Amministratore Truelite | |
| 55 | 8 | Simone Piccardi | chiederà la passphrase del certificato e creerà il file @cert.pem@ col certificato. |
| 56 | 7 | Simone Piccardi | |
| 57 | 1 | Amministratore Truelite | h3. Estrazione della chiave: |
| 58 | |||
| 59 | 8 | Simone Piccardi | Quando si deve estrarre la chiave (privata) da un file @.pfx@ occorrerà passare dall'esportazione dei dati: |
| 60 | |||
| 61 | 7 | Simone Piccardi | <pre> |
| 62 | 1 | Amministratore Truelite | openssl pkcs12 -in certificate.pfx -nocerts -out key.pem -nodes |
| 63 | 7 | Simone Piccardi | </pre> |
| 64 | |||
| 65 | 8 | Simone Piccardi | chiederà la passphrase del certificato e creerà il file @key.pem@ con dentro chiave e certificato, poi per ottenere la sola chiave occorrerà: |
| 66 | 7 | Simone Piccardi | |
| 67 | <pre> |
||
| 68 | openssl rsa -in key.pem -out server.key |
||
| 69 | </pre> |