我想从我的PKCS#12文件中提取公钥和私钥,以便以后在SSH-Public-Key-Authentication中使用。
现在,我通过ssh-keygen生成密钥,我将它放在.ssh / authorized_key中,分别位于客户端的某个位置。
将来,我想使用PKCS#12容器中的密钥,因此我首先从PKCS#12中提取公钥,然后将它们放入.ssh / authorized_keys文件中。有没有机会通过openssl实现这一点? PKCS#12中的密钥是否兼容ssh-public-key身份验证?
您可以使用以下命令从PKCS#12容器中提取公钥/私钥:
openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem
openssl pkcs12 -in yourP12File.pfx -clcerts -nokeys -out publicCert.pem
通过一些格式转换可以实现这一点。
要以openssh格式提取私钥,可以使用:
openssl pkcs12 -in pkcs12.pfx -nocerts -nodes | openssl rsa > id_rsa
要将私钥转换为公钥:
openssl rsa -in id_rsa -pubout | ssh-keygen -f /dev/stdin -i -m PKCS8
要以openssh格式提取公钥,可以使用:
openssl pkcs12 -in pkcs12.pfx -clcerts -nokeys | openssl x509 -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8
OpenSSH无法使用开箱即用的PKCS#12文件。正如其他人建议的那样,您必须提取PEM格式的私钥,这将使您从OpenSSL到OpenSSH。这里提到的其他解决方案对我不起作用。我使用OS X 10.9 Mavericks(目前为10.9.3)和“预先打包”实用程序(OpenSSL 0.9.8y,OpenSSH 6.2p2)。
首先,提取PEM格式的私钥,OpenSSH将直接使用它:
openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa > ~/.ssh/id_rsa
我强烈建议用密码加密私钥:
openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa -passout 'pass:Passw0rd!' > ~/.ssh/id_rsa
显然,在命令行上写一个纯文本密码也不安全,所以你应该从历史记录中删除最后一个命令,或者只是确保它没有到达那里。不同的贝壳有不同的方式。您可以在命令前加上空格,以防止它在Bash和许多其他shell中保存到历史记录中。以下是如何在Bash中从历史记录中删除命令:
history -d $(history | tail -n 2 | awk 'NR == 1 { print $1 }')
或者,您可以使用不同的方式将私钥密码传递给OpenSSL - 请咨询OpenSSL documentation for pass phrase arguments。
然后,创建一个可以添加到authorized_keys文件的OpenSSH公钥:
ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub
解决方案1:
从jks中提取P12
keytool -importkeystore -srckeystore MyRootCA.jks -destkeystore MyRootCA.p12 -deststoretype PKCS12
从P12中提取PEM并从crt文件中编辑文件和pem
openssl pkcs12 -in MyRootCA.p12 -clcerts -nokeys -out MyRootCA.crt
从jks中提取密钥
openssl pkcs12 -in MyRootCA.p12 -nocerts -out encryptedPrivateKey.pem
openssl rsa -in encryptedPrivateKey.pem -out decryptedPrivateKey.key
解决方案2:
将PEM和encryptedPrivateKey解压缩到txt文件```
openssl pkcs12 -in MyRootCA.p12 -out keys_out.txt
解密privateKey
openssl rsa -in encryptedPrivateKey.key [-outform PEM] -out decryptedPrivateKey.key
更新:我注意到我的回答只是https://unix.stackexchange.com/...关于BryKKan的一个解释良好的问题的重复
以下是它的摘录:
openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > <clientcert.key>
openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <clientcert.cer>
openssl pkcs12 -in <filename.pfx> -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <cacerts.cer>
据我所知,PKCS#12只是一个证书/公钥/私钥存储。如果您从PKCS#12文件中提取公钥,OpenSSH应该能够使用它,只要它是以PEM格式提取的。您可能已经知道还需要相应的私钥(也在PEM中)才能将其用于ssh-public-key身份验证。
接受的答案是正确的命令,我只想添加一个额外的东西,当你将PEM密码(“输入PEM密码:”)留空时提取密钥,那么将不提取完整的密钥,但只提取localKeyID被提取。要获取完整密钥,您必须指定运行以下命令的PEM密码。
请注意,在导入密码时,您可以指定“输入导入密码:”的实际密码,也可以将此密码留空。
openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem