Come estrarre CA, Certificati e chiavi da un file PKCS12 o PFX¶

È necessario avere installato OpenSSL nel proprio sistema, questo si può fare con:

apt-get install openssl

si ricordi che l'estrazione della chiave su un file ne rimuove la password, si abbia cura di farla in una directory non leggibile da terzi o di predisporre una opportuna umask. Si aggiustino poi i permessi dei file se li si devono spostare (600/640 per la chiave, 644 per i certificati).

Estrazione da un file .p12 (PKCS12)¶

Estrazione del certificato:¶

openssl pkcs12 -clcerts -nokeys -in mycert.p12 -out usercert.pem

Estrazione della chiave:¶

openssl pkcs12 -nocerts -in mycert.p12 -out userkey.pem

Estrazione del certificato della CA:¶

openssl pkcs12 -nokeys -nodes -cacerts -in mycert.p12 -out cacert.pem

Cambiamento della password su un certificato PKCS12¶

Deve essere fatto in due passi, prima deve essere estratto su un file .pem con:

openssl pkcs12 -in originale.p12 -out temp.pem -nodes

verrà chiesta la password originale, data la quale verrà salvato senza password su temp.pem, a questo punto lo si potrà rigenerare con una password diversa con:

openssl pkcs12 -export -in temp.pem -out nuovo.p12

si dovrà immettere la nuova password due volte (per conferma); per avere un certificato senza password si prema due volte invio. Completato il cambiamento si cancellino i file che non servono più (compreso il temporaneo).

Estrazione da un file .pfx¶

Estrazione del certificato:¶

openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem

chiederà la passphrase del certificato

Estrazione della chiave:¶

openssl pkcs12 -in certificate.pfx -nocerts -out key.pem -nodes

chiederà la passphrase del certificato, poi:

openssl rsa -in key.pem -out server.key