Extrait de clés publique/privée de PKCS12 fichier pour une utilisation ultérieure dans SSH-PK-Authentification

Je veux extraire les clés publique et privée à partir de mon fichier PKCS#12 pour les utiliser plus tard dans SSH-une Clé Publique d'Authentification.

Maintenant, je suis de la génération de clés via ssh-keygen que j'ai mis en .ssh/authorized_key, en quelque part sur le côté client.

À l'avenir, je veux utiliser les clés à partir d'un fichier PKCS#12 conteneur, donc j'en ai pour extraire la clé publique d'abord de fichier PKCS#12, puis de les mettre dans le .ssh/authorized_keys-fichier. Est-il possible de le faire fonctionner via openssl? Sont les clés PKCS#12 compatible pour ssh-clé publique d'authentification?

InformationsquelleAutor lazydaemon | 2012-02-29
  1. 261

    Vous pouvez utiliser les commandes suivantes pour extraire publique/clé privée à partir d'un fichier PKCS#12 conteneur:

    • PKCS#1 clé Privée

      openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem

    • Certificats:

      openssl pkcs12 -in yourP12File.pfx -clcerts -nokeys -out publicCert.pem
    • les commandes de travail, mais la clé Privée est exporté en tant que PKCS1 format et j'ai besoin de PKCS8... Est-il une option, je suis absent pour l'obtenir? Par exemple, il exportations-----BEGIN RSA PRIVATE KEY-----' mais j'ai besoin " - - - - - COMMENCER le PRIVATE KEY-----'
    • Pour faire que vous pourriez essayer openssl rsa -in privateKey.pem -out private.pem
    • Pour obtenir PKCS8, ajouter les nœuds drapeau
    • À l'exportation, sans mot de passe, ajouter -passout pass:. Il attend le paramètre à être dans la forme de pass:monmotdepasse. stackoverflow.com/a/27497899/206277
    • merci! c'était bon pour moi. l'ajout de -nodes exporte la clé correctement
    InformationsquelleAutor Nilesh
  2. 78

    C'est possible avec un peu de conversion de format.

    Pour extraire la clé privée dans un format openssh pouvez utiliser:

    openssl pkcs12 -in pkcs12.pfx -nocerts -nodes | openssl rsa > id_rsa

    Pour convertir la clé privée d'une clé publique:

    openssl rsa -in id_rsa -pubout | ssh-keygen -f /dev/stdin -i -m PKCS8

    D'extraire la clé publique dans un format openssh pouvez utiliser:

    openssl pkcs12 -in pkcs12.pfx -clcerts -nokeys | openssl x509 -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8
    • Merci!!!! La première ligne était celui dont j'avais besoin. Juste la clé, en clair, de sorte qu'il peut être installé par la plupart des réseaux de diffusion de contenu, les systèmes automatisés.
    • Je pense que vous avez les clés publiques et privées confondues. Une clé publique RSA est de deux valeurs, " e " le public, exposant, et 'n' le module, qui sont stockés sur le côté de la partie privée de la clé.
    InformationsquelleAutor ryanc
  3. 14

    OpenSSH ne peut pas utiliser le fichier PKCS#12 fichiers de la boîte. Comme d'autres l'ont suggéré, vous devez extraire la clé privée au format PEM qui vous obtient à partir de la terre de OpenSSL pour OpenSSH. D'autres solutions mentionnées ici ne fonctionne pas pour moi. J'utilise OS X 10.9 Mavericks (10.9.3 pour le moment) avec “préemballé” utilitaires (OpenSSL 0.9.8 y, OpenSSH 6.2p2).

    Premier, extrait d'une clé privée au format PEM qui seront utilisés directement par OpenSSH:

    openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa > ~/.ssh/id_rsa

    Je vous suggère fortement de chiffrer la clé privée avec mot de passe:

    openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa -passout 'pass:Passw0rd!' > ~/.ssh/id_rsa

    Évidemment, l'écriture d'un texte brut mot de passe sur la ligne de commande n'est pas en sécurité, vous devez supprimer la dernière commande de l'histoire ou tout simplement assurez-vous de ne pas y arriver. Différentes coquilles ont différentes façons. Vous pouvez ajouter un préfixe de votre commande avec de l'espace pour éviter qu'elle soit enregistrée dans l'historique de Bash et beaucoup d'autres coquillages. Voici aussi comment faire pour supprimer la commande de l'histoire de Bash:

    history -d $(history | tail -n 2 | awk 'NR == 1 { print $1 }')

    Alternativement, vous pouvez utiliser différentes façon de passer une clé privée mot de passe pour OpenSSL - consulter OpenSSL documentation de la phrase de passe arguments.

    Ensuite, créer une OpenSSH clé publique qui peuvent être ajoutées au fichier authorized_keys:

    ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub
    • Quelle est la | openssl rsa des trucs?
    • permet de s'assurer qu'il n'y a qu'clé privée dans la sortie. Dans mon cas, il crée une fiche d'identité ( ~/.ssh/id_rsa ), avec quelques “trucs” comme Sac Attributs sans ` | openssl rsa. Je suppose que OpenSSH et d'autres utilitaires qui utilisent une fiche d'identité peut gérer que les trucs (je n'ai pas essayé), mais je suis simplement utilisé pour fournir uniquement les données nécessaires et rien de plus, surtout si c'est quelque chose autour de la sécurité.
    • Cette réponse a fonctionné pour moi d'obtenir l'accès à la PEM-format de la clé privée dans le terminal, qui j'ai été en mesure de copier/coller: openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts
    InformationsquelleAutor frzng
  4. 4

    Solution 1:

    Extrait P12 de jks

    keytool -importkeystore -srckeystore MyRootCA.jks -destkeystore MyRootCA.p12 -deststoretype PKCS12

    Extrait de PEM de P12 et Modifier le fichier pem et de crt fichier

    openssl pkcs12 -in MyRootCA.p12 -clcerts -nokeys -out MyRootCA.crt

    Extraire la clé de jks

    openssl pkcs12 -in MyRootCA.p12 -nocerts -out encryptedPrivateKey.pem
openssl rsa -in encryptedPrivateKey.pem -out decryptedPrivateKey.key

    Solution 2:

    Extrait de PEM et encryptedPrivateKey fichier txt``

    openssl pkcs12 -in MyRootCA.p12 -out keys_out.txt

    Décrypter privateKey

    openssl rsa -in encryptedPrivateKey.key [-outform PEM] -out decryptedPrivateKey.key
    • En répondant aux questions, il permet de mettre en évidence ce que les commandes sont. Vous pouvez le faire en ajoutant trois backquotes avant et après la commande `echo bonjour` " devient echo hello.
    InformationsquelleAutor Ali Alimohammadi
  5. 1

    Mise à jour: j'ai remarqué que ma réponse était juste une mauvaise copie d'un bien expliqué question sur https://unix.stackexchange.com/... par BryKKan

    Voici un extrait:

    openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > <clientcert.key>

openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <clientcert.cer>

openssl pkcs12 -in <filename.pfx> -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <cacerts.cer>
    • Ajout d'une explication serait de rendre cette réponse plus utile.
    InformationsquelleAutor gvlax
  6. 0

    Autant que je sache, PKCS#12 est tout simplement un certificat de clé publique/privée store. Si vous avez extrait une clé publique à partir de fichier PKCS#12, OpenSSH devrait être en mesure de l'utiliser aussi longtemps que il a été extrait dans PEM format. Vous savez probablement déjà que vous avez également besoin d'une clé privée correspondante (également dans PEM) afin de l'utiliser pour ssh-clé publique d'authentification.

    InformationsquelleAutor sirgeorge
  7. 0

    Accepté la réponse est la bonne commande, je veux juste ajouter une chose, lors de l'extraction de la clé si vous laissez le PEM mot de passe("Enter PEM pass phrase:") vides, puis la clé complète ne sera pas extrait, mais seulement la localKeyID seront extraites. Pour obtenir la clé complète, vous devez spécifier un PEM mot de passe whem exécutant la commande suivante.

    Veuillez noter que quand il s'agit de l'Importation de mot de passe, vous pouvez spécifier le mot de passe pour "Entrer dans l'Importation Mot de passe:" ou pouvez laisser ce champ mot de passe vide.

    openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem
    • Que devrait être un commentaire à accepté de répondre, pas la réponse.
    InformationsquelleAutor Arvind Sachdeva