Extract public/private key from PKCS12 file for later use in SSH-PK-Authentication
我想从我的PKCS#12文件中提取公钥和私钥,以便以后在SSH-Public-Key-Authentication中使用。
现在,我通过ssh-keygen生成密钥,我将它放在.ssh / authorized_key中,分别位于客户端的某个位置。
将来,我想使用PKCS#12容器中的密钥,因此我首先从PKCS#12中提取公钥,然后将它们放入.ssh / authorized_keys文件中。 有没有机会通过openssl实现这一点? PKCS#12中的密钥是否兼容ssh-public-key身份验证?
您可以使用以下命令从PKCS#12容器中提取公钥/私钥:
-
PKCS#1私钥
1openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem -
证书:
1openssl pkcs12 -in yourP12File.pfx -clcerts -nokeys -out publicCert.pem
通过一些格式转换可以实现这一点。
要以openssh格式提取私钥,可以使用:
1 | openssl pkcs12 -in pkcs12.pfx -nocerts -nodes | openssl rsa > id_rsa |
要将私钥转换为公钥:
1 | openssl rsa -in id_rsa -pubout | ssh-keygen -f /dev/stdin -i -m PKCS8 |
要以openssh格式提取公钥,可以使用:
1 | openssl pkcs12 -in pkcs12.pfx -clcerts -nokeys | openssl x509 -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8 |
OpenSSH无法使用开箱即用的PKCS#12文件。正如其他人建议的那样,您必须提取PEM格式的私钥,这将使您从OpenSSL到OpenSSH。这里提到的其他解决方案对我不起作用。我使用OS X 10.9 Mavericks(目前为10.9.3)和"预先打包"实用程序(OpenSSL 0.9.8y,OpenSSH 6.2p2)。
首先,提取PEM格式的私钥,OpenSSH将直接使用它:
1 | openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa > ~/.ssh/id_rsa |
我强烈建议用密码加密私钥:
1 | openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa -passout 'pass:Passw0rd!' > ~/.ssh/id_rsa |
显然,在命令行上写一个纯文本密码也不安全,所以你应该从历史记录中删除最后一个命令,或者只是确保它没有到达那里。不同的贝壳有不同的方式。您可以在命令前加上空格,以防止它在Bash和许多其他shell中保存到历史记录中。以下是如何在Bash中从历史记录中删除命令:
1 | history -d $(history | tail -n 2 | awk 'NR == 1 { print $1 }') |
或者,您可以使用不同的方式将私钥密码传递给OpenSSL - 请参阅OpenSSL文档以获取密码参数。
然后,创建一个可以添加到authorized_keys文件的OpenSSH公钥:
1 | ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub |
解决方案1:
从jks中提取P12
1 | keytool -importkeystore -srckeystore MyRootCA.jks -destkeystore MyRootCA.p12 -deststoretype PKCS12 |
从P12中提取PEM并从crt文件中编辑文件和pem
1 | openssl pkcs12 -in MyRootCA.p12 -clcerts -nokeys -out MyRootCA.crt |
从jks中提取密钥
1 2 | openssl pkcs12 -in MyRootCA.p12 -nocerts -out encryptedPrivateKey.pem openssl rsa -in encryptedPrivateKey.pem -out decryptedPrivateKey.key |
解决方案2:
将PEM和encryptedPrivateKey解压缩到txt文件```
1 | openssl pkcs12 -in MyRootCA.p12 -out keys_out.txt |
解密privateKey
1 | openssl rsa -in encryptedPrivateKey.key [-outform PEM] -out decryptedPrivateKey.key |
更新:我注意到我的答案只是一个很糟糕的副本,在https://unix.stackexchange.com / ...由BryKKan解释得很好
以下是它的摘录:
1 2 3 4 5 | openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > <clientcert.key> openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <clientcert.cer> openssl pkcs12 -in <filename.pfx> -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <cacerts.cer> |
接受的答案是正确的命令,我只想添加一个额外的东西,当你将PEM密码("输入PEM密码:")留空时提取密钥,那么将不提取完整的密钥,但只提取localKeyID被提取。要获取完整密钥,您必须指定运行以下命令的PEM密码。
请注意,在导入密码时,您可以指定"输入导入密码:"的实际密码,也可以将此密码留空。
1 | openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem |
据我所知,PKCS#12只是一个证书/公钥/私钥存储。如果您从PKCS#12文件中提取公钥,OpenSSH应该能够使用它,只要它是以PEM格式提取的。您可能已经知道还需要相应的私钥(也在PEM中)才能将其用于ssh-public-key身份验证。