Progetto

Generale

Profilo

OpenSslPKCS12 » Cronologia » Versione 7

Simone Piccardi, 23-01-2019 17:07

1 7 Simone Piccardi
h1. Come estrarre CA, Certificati e chiavi da un file PKCS12 o PFX
2 1 Amministratore Truelite
3 5 Simone Piccardi
È necessario avere installato OpenSSL nel proprio sistema, questo si può fare con:
4 1 Amministratore Truelite
5
<pre>
6 6 Simone Piccardi
apt-get install openssl
7 5 Simone Piccardi
</pre>
8 4 Amministratore Truelite
9 6 Simone Piccardi
si ricordi che l'estrazione della chiave su un file ne rimuove la password, si abbia cura di farla in una directory non leggibile da terzi o di predisporre una opportuna umask. Si aggiustino poi i permessi dei file se li si devono spostare (600/640 per la chiave, 644 per i certificati).
10 1 Amministratore Truelite
11 7 Simone Piccardi
h2. Estrazione da un file .p12 (PKCS12)
12 1 Amministratore Truelite
13 7 Simone Piccardi
h3. Estrazione del certificato:
14
15 1 Amministratore Truelite
<pre>
16
openssl pkcs12 -clcerts -nokeys -in mycert.p12 -out usercert.pem
17
</pre>
18 4 Amministratore Truelite
19 7 Simone Piccardi
h3. Estrazione della chiave:
20 1 Amministratore Truelite
21
<pre>
22
openssl pkcs12 -nocerts -in mycert.p12 -out userkey.pem
23
</pre>
24 4 Amministratore Truelite
25 7 Simone Piccardi
h3. Estrazione del certificato della CA:
26 1 Amministratore Truelite
27
<pre>
28
openssl pkcs12 -nokeys -nodes -cacerts -in mycert.p12 -out cacert.pem
29
</pre>
30 6 Simone Piccardi
31 7 Simone Piccardi
h3. Cambiamento della password su un certificato PKCS12
32 6 Simone Piccardi
33
Deve essere fatto in due passi, prima deve essere estratto su un file @.pem@ con:
34
35
<pre>
36
openssl pkcs12 -in originale.p12 -out temp.pem -nodes
37
</pre>
38
39
verrà chiesta la password originale, data la quale verrà salvato senza password su @temp.pem@, a questo punto lo si potrà rigenerare con una password diversa con:
40
41 1 Amministratore Truelite
<pre>
42
openssl pkcs12 -export -in temp.pem -out nuovo.p12
43
</pre>
44
45
si dovrà immettere la nuova password due volte (per conferma); per avere un certificato senza password si prema due volte invio. Completato il cambiamento si cancellino i file che non servono più (compreso il temporaneo).
46 7 Simone Piccardi
47
48
h2. Estrazione da un file .pfx
49
50
h3. Estrazione del certificato:
51
52
<pre>
53
openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem
54
</pre>
55
56
chiederà la passphrase del certificato
57
58
59
h3. Estrazione della chiave:
60
61
<pre>
62
openssl pkcs12 -in certificate.pfx -nocerts -out key.pem -nodes
63
</pre>
64
65
chiederà la passphrase del certificato, poi:
66
67
<pre>
68
openssl rsa -in key.pem -out server.key
69
</pre>