Jak usunąć hasło klucza prywatnego z kontenera pkcs12?

40

Wyodrębniłem certyfikat za pomocą polecenia SSL / eksportu Chrome.
Następnie podał go jako dane wejściowe do openvpn - w konfiguracji dla openvpn:
pkcs12 "path/to/pkcs12_container"
Podczas dzwonienia openvpn ~/openvp_configprosi o hasło do klucza prywatnego (który wprowadziłem podczas eksportowania za pomocą Chrome):
Enter Private Key Password:...
Chcę usunąć to żądanie hasła.

Pytanie: jak usunąć hasło do klucza prywatnego z pkcs12?

To znaczy, stwórz plik pkcs12, który nie wymaga hasła.

(wydaje się, że już jakoś to zrobiłem rok temu, a teraz zapomniałem.damn.)

ssl-certificate openssl

— Ayrat
źródło

robi to następujący skrypt (zasadniczo jest to odpowiedź zero0): użycie gist.github.com/5nizza/7ae9cff0d43f33818a33 :./remove_pass_from_cert.sh YourCertName YourCertPass

— Ayrat

48

Można to osiągnąć za pomocą różnych opensslpołączeń.

HASŁO to twoje aktualne hasło
Twój plik PKCSFile to plik, który chcesz przekonwertować
NowyPKCSWithoutPassphraseFile to plik docelowy dla PKCS12 bez hasła

Najpierw wypakuj certyfikat:

$ openssl pkcs12 -clcerts -nokeys -in "YourPKCSFile" \
      -out certificate.crt -password pass:PASSWORD -passin pass:PASSWORD

Po drugie, klucz CA:

$ openssl pkcs12 -cacerts -nokeys -in "YourPKCSFile" \
      -out ca-cert.ca -password pass:PASSWORD -passin pass:PASSWORD

Teraz klucz prywatny:

$ openssl pkcs12 -nocerts -in "YourPKCSFile" \
      -out private.key -password pass:PASSWORD -passin pass:PASSWORD \
      -passout pass:TemporaryPassword

Teraz usuń hasło:

$ openssl rsa -in private.key -out "NewKeyFile.key" \
      -passin pass:TemporaryPassword

Złóż wszystko razem dla nowego pliku PKCS:

$ cat "NewKeyFile.key"  \
      "certificate.crt" \
      "ca-cert.ca" > PEM.pem

I utwórz nowy plik:

$ openssl pkcs12 -export -nodes -CAfile ca-cert.ca \
      -in PEM.pem -out "NewPKCSWithoutPassphraseFile"

Teraz masz nowy plik klucza PKCS12 bez hasła w części klucza prywatnego.

— zero
źródło

świetna odpowiedź! .. co to jest ca-cert.ca?

— Ayrat

@Ayrat: To jest część certyfikatu CA twojego klucza. - Mam literówkę w odpowiedzi, poprawiam ... - Zachęcam do głosowania i zaakceptowania odpowiedzi po wypróbowaniu :-)

— zero0

2

-nodesjest ignorowany, gdy -exportjest używany, nie jest udokumentowany w tym przypadku (patrz strona man openssl, -nodesjest wymieniony tylko podczas eksportu z PKCS # 12 do PEM). Ostatnie połączenie nadal monituje mnie o hasło eksportu. A jeśli właśnie wrócę return, otrzymam plik PKCS # 12, którego hasło jest pustym ciągiem, a nie jednym bez hasła. Gdy to zrobię openssl pkcs12 -in "NewPKCSWithoutPassphraseFile", nadal monituje mnie o hasło do importu. Mogę po prostu nacisnąć Return i to działa, ale gdyby nie było hasła, nie byłoby nawet wyświetlane.

— Mecki

35

Najprostszym rozwiązaniem , jakie znalazłem, jest

Eksportuj do tymczasowego pliku pem

openssl pkcs12 -in protected.p12 -nodes -out temp.pem
#  -> Enter password

Konwertuj pem z powrotem na p12

openssl pkcs12 -export -in temp.pem  -out unprotected.p12
# -> Just press [return] twice for no password

Usuń tymczasowy certyfikat

rm temp.pem

— Koen
źródło

Nie widzę wad tego podejścia.

— Matt Beckman

Niektóre narzędzia wymagają hasła. Na przykład keytool -v -list -storetype pkcs12 -keystore unprotected.p12wyemituje ostrzeżenie i NIE wyświetli certyfikatu. Może więc działać dla OpenVPN, ale nie dla czegoś innego.

— mivk

@mivk co masz na myśli? Czy niektóre narzędzia wymagają klucza chronionego hasłem?

— Koen.

1

Jasne, ale pytanie dotyczy usunięcia hasła, a nie aplikacji wymagających ustawienia hasła.

— Koen.

2

Twoje rozwiązanie nie tworzy PKCS # 12 bez hasła, ale z hasłem „” (ciąg pusty), który nie jest taki sam.

— Mecki

5

Można to łatwo zrobić w jednym kroku bez pliku tymczasowego:

openssl pkcs12 -in "PKCSFile" -nodes | openssl pkcs12 -export -out "PKCSFile-Nopass"

Odpowiedz na pytanie Importuj hasło, podając hasło. Odpowiedz na polecenia Export Passowrd, naciskając <CR>

Gotowy.

Pamiętaj, że obsługuje to dowolną liczbę certyfikatów pośrednich, które mogą znajdować się w pakiecie ...

Zdecydowanie zalecam ostrożność z wynikowym plikiem; dobrym pomysłem byłoby ustawienie najpierw umask na 377 (non-unix: oznacza to, że tylko właściciel może odczytać utworzony plik). Przypuszczam, że to 2 kroki, jeśli domyślny umask jest dozwolony ...

— tlhackque
źródło

2

Teraz klucz prywatny:

openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -password pass:PASSWORD -passin pass:PASSWORD -passout pass:TemporaryPassword

Usuń teraz hasło:

openssl rsa -in private.key -out "NewKeyFile.key" -passin pass:TemporaryPassword

Te 2 kroki można zastąpić

openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -nodes

— kuang
źródło

0

Żadne z tych nie działało dla mnie. W końcu wróciłem do kodu dotNet, który zadziałał za pierwszym razem.

class Script
{
    static public void Main(string[] args)
    {
                if (args.Length < 3 || args.Contains("/?"))
                {
                    MainHelp(args);
                    return;
                }
       string _infile = args[0],
                        _outfile = args[2];
                string _password = args[1], _outpassword = (args.Length > 3) ? args[3] : "";
                Console.WriteLine(String.Format("{0} -> {1} with ({2} -> {3})", _infile, _outfile, _password, _outpassword));
                System.Security.Cryptography.X509Certificates.X509Certificate2 cert = null;
                Console.WriteLine(String.Format("Load {0} with {2}", _infile, _outfile, _password, _outpassword));
                cert = new System.Security.Cryptography.X509Certificates.X509Certificate2(_infile, _password, X509KeyStorageFlags.Exportable);
                Console.WriteLine(String.Format("Export {1} with {3}", _infile, _outfile, _password, _outpassword));
                System.IO.File.WriteAllBytes(_outfile, cert.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pfx, _outpassword));
                Console.WriteLine(String.Format("Export complete", _infile, _outfile, _password, _outpassword));
    }

     static public void MainHelp(string[] args)
    {
            Console.WriteLine("Usage pfxremovepwd [inpfx] [inpwd] [outpfx] [optional outpwd]");
            return;
    }
}

— Nick van Esch
źródło