OpenSslPKCS12 » Cronologia » Versione 12
Versione 11 (Simone Piccardi, 03-01-2024 18:08) → Versione 12/13 (Simone Piccardi, 05-07-2024 09:30)
h1. Come estrarre CA, Certificati e chiavi da un file PKCS#12/PFX PKCS12 o PFX I certificati SSL/TLS possono È necessario avere diversi formati ed estensioni, ma ad oggi i più comuni sono il PEM, usato dalla gran parte dei server installato OpenSSL nel proprio sistema, questo si può fare con: <pre> apt-get install openssl </pre> si ricordi che forniscono i servizi l'estrazione della chiave su un file ne rimuove la password, si abbia cura di rete, che consente farla in una directory non leggibile da terzi o di usare predisporre una opportuna umask. Si aggiustino poi i permessi dei file separati se li si devono spostare (600/640 per chiavi e cerfificati, ed il PKCS#12 (talvolta chiamato PFX) usati prevalentemente nel mondo Windows. Questi ultimi sono in un formato binario, e prevedono l'utilizzo di un singolo file in cui sono contenuti il certificato finale, eventuali certificati intermedi e la chiave. chiave, 644 per i certificati). h2. Estrazione da un file .p12 (PKCS12) Quando si vogliono utilizzare i dati di un certificato PKCS12 con di programmi che utilizzano il formato PEM per chiavi e certificati SSL (come usuale per demoni di sistema come Apache, Postfix, Nginx, ecc.) occorre estrarli esplicitamente. h3. Estrazione del certificato: <pre> openssl pkcs12 -clcerts -nokeys -in mycert.p12 -out usercert.pem </pre> h3. Estrazione della chiave: <pre> openssl pkcs12 -nocerts -in mycert.p12 -out userkey.pem </pre> si ricordi che l'estrazione della chiave su un file ne rimuove la password, si abbia cura di farla in una directory non leggibile da terzi o di predisporre una opportuna umask. Si aggiustino poi i permessi dei file se li si devono spostare (600/640 per la chiave, 644 per i certificati). h3. Estrazione del certificato della CA: <pre> openssl pkcs12 -nokeys -nodes -cacerts -in mycert.p12 -out cacert.pem </pre> h3. Cambiamento della password su un certificato PKCS12 Deve essere fatto in due passi, prima deve essere estratto il contenuto del certificato PKCS12 su un file @.pem@ con: <pre> openssl pkcs12 -in originale.p12 -out temp.pem -nodes </pre> verrà chiesta la password originale, data la quale tutti dati verranno salvati senza password su @temp.pem@, a questo punto lo si potrà rigenerare con una password diversa con: <pre> openssl pkcs12 -export -in temp.pem -out nuovo.p12 </pre> si dovrà immettere la nuova password due volte (la seconda per conferma). Per avere un certificato senza password si prema due volte invio. Completato il cambiamento si cancellino i file che non servono più (compreso il temporaneo). h2. Estrazione da un file .pfx h3. Estrazione del certificato: <pre> openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem </pre> chiederà la passphrase del certificato e creerà il file @cert.pem@ col certificato. h3. Estrazione della chiave: Quando si deve estrarre la chiave (privata) da un file @.pfx@ occorrerà passare dall'esportazione dei dati: <pre> openssl pkcs12 -in certificate.pfx -nocerts -out key.pem -nodes </pre> chiederà la passphrase del certificato e creerà il file @key.pem@ con dentro chiave e certificato, poi per ottenere la sola chiave occorrerà: <pre> openssl rsa -in key.pem -out server.key </pre>