2

OpenSSL 1.0.1e 11 февраля 2013

Создание самозаверяющего сертификата:

openssl req -x509 -newkey rsa:1024 -keyout key.pem -out cert.pem -days 365

Во время процесса запрашивается пароль PEM :

Введите пароль PEM:
Проверка - введите пароль PEM:

После успешного завершения в формате PEM есть 2 результирующих файла:

key.pem, cert.pem

Закрытый ключ (key.pem) находится в формате PKCS # 8 , и его стартовая строка гласит:

----- НАЧИНАЕТСЯ ЗАПИСАННЫЙ ЧАСТНЫЙ КЛЮЧ -----

Сейчас я пытаюсь объединить сертификат и связанный с ним закрытый ключ в хранилище ключей PKCS # 12 и защитить хранилище ключей с помощью пароля. Примечание. Насколько я понимаю, это должно эффективно обеспечить запрос пароля во время доступа для чтения, а также фразу-пароль для закрытого ключа соответствующей записи:

openssl pkcs12 -export -inkey key.pem -in cert.pem -out keystore.p12

После исполнения меня просят о следующем:

Введите пароль для key.pem:
Введите пароль для экспорта:
Проверка - введите пароль для экспорта:

Однако, насколько я понимаю, фраза-пароль должна оставаться неизменной для закрытого ключа, который сейчас хранится в файле keystore.p12 . Вот как я пытаюсь прочитать содержимое хранилища ключей:

openssl pkcs12 -nodes -info -in keystore.p12

Вывод, который я получаю (относится только к защите хранилища ключей с помощью пароля):

Введите пароль для импорта:

И перечисляет сертификат, а также закрытый ключ, в формате PEM, не запрашивая фразу-пароль для последнего. Это в основном проблема. Пароль PEM больше не существует для закрытого ключа. Что я делаю не так или как я могу это исправить? Спасибо.

1 ответ1

5

Там нет ничего плохого. Вот как работает PKCS12. PKCS12 - это формат для безопасной передачи цепочек сертификатов и личных ключей между токенами. Защита / шифрование закрытого ключа осуществляется парольной фразой, которую вы ввели при запросе «Ввести пароль для экспорта». Ничего похожего на дважды зашифрованные ключи.

РЕДАКТИРОВАТЬ: -nodes опцию узлов . Это отключает шифрование закрытого ключа.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .