Extrahieren Sie den öffentlichen / privaten Schlüssel aus der PKCS12-Datei zur späteren Verwendung in der SSH-PK-Authentifizierung

Ich möchte den öffentlichen und privaten Schlüssel aus meiner PKCS#12Datei extrahieren, um ihn später für die SSH-Authentifizierung mit öffentlichem Schlüssel zu verwenden.

Im Moment generiere ich Schlüssel über ssh-keygen, die ich .ssh/authorized_keyirgendwo auf der Clientseite eingebe.

In Zukunft möchte ich die Schlüssel aus einem PKCS#12Container verwenden, daher muss ich zuerst den öffentlichen Schlüssel extrahieren PKCS#12und dann in die .ssh/authorized_keysDatei einfügen. Gibt es eine Chance, dies zum Laufen zu bringen openssl? Sind die Schlüssel PKCS#12für die Authentifizierung mit ssh-public-key kompatibel?

Mit den folgenden Befehlen können Sie den öffentlichen / privaten Schlüssel aus einem PKCS # 12-Container extrahieren:

• PKCS # 1 Privater Schlüssel

  openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem
  

• Zertifikate:

  openssl pkcs12 -in yourP12File.pfx -clcerts -nokeys -out publicCert.pem
  

Dies ist mit ein wenig Formatkonvertierung möglich.

Um den privaten Schlüssel in einem Format zu extrahieren, kann openssh Folgendes verwenden:

openssl pkcs12 -in pkcs12.pfx -nocerts -nodes | openssl rsa > id_rsa

So konvertieren Sie den privaten Schlüssel in einen öffentlichen Schlüssel:

openssl rsa -in id_rsa -pubout | ssh-keygen -f /dev/stdin -i -m PKCS8

Um den öffentlichen Schlüssel in einem Format zu extrahieren, kann openssh Folgendes verwenden:

openssl pkcs12 -in pkcs12.pfx -clcerts -nokeys | openssl x509 -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8

OpenSSH kann keine PKCS # 12-Dateien sofort verwenden. Wie andere vorgeschlagen haben, müssen Sie den privaten Schlüssel im PEM-Format extrahieren, der Sie aus dem Land von OpenSSL nach OpenSSH bringt. Andere hier erwähnte Lösungen funktionieren bei mir nicht. Ich verwende OS X 10.9 Mavericks (derzeit 10.9.3) mit vorgefertigten Dienstprogrammen (OpenSSL 0.9.8y, OpenSSH 6.2p2).

Extrahieren Sie zunächst einen privaten Schlüssel im PEM-Format, der direkt von OpenSSH verwendet wird:

openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa > ~/.ssh/id_rsa

Ich empfehle dringend, den privaten Schlüssel mit einem Passwort zu verschlüsseln:

openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa -passout 'pass:Passw0rd!' > ~/.ssh/id_rsa

Natürlich ist das Schreiben eines Klartextkennworts in der Befehlszeile auch nicht sicher. Sie sollten daher den letzten Befehl aus dem Verlauf löschen oder nur sicherstellen, dass er nicht dort ankommt. Unterschiedliche Muscheln haben unterschiedliche Möglichkeiten. Sie können Ihrem Befehl Leerzeichen voranstellen, um zu verhindern, dass er in Bash und vielen anderen Shells im Verlauf gespeichert wird. So löschen Sie den Befehl auch aus dem Verlauf in Bash:

history -d $(history | tail -n 2 | awk 'NR == 1 { print $1 }')

Alternativ können Sie OpenSSL auf andere Weise ein Kennwort für einen privaten Schlüssel übergeben. Informationen zu Passphrasenargumenten finden Sie in der OpenSSL-Dokumentation .

Erstellen Sie dann einen öffentlichen OpenSSH-Schlüssel, der der Datei "authorized_keys" hinzugefügt werden kann:

ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub

Lösung 1:

Extrahieren Sie P12 aus jks

keytool -importkeystore -srckeystore MyRootCA.jks -destkeystore MyRootCA.p12 -deststoretype PKCS12

Extrahieren Sie PEM aus P12 und bearbeiten Sie die Datei und pem aus der CRT-Datei

openssl pkcs12 -in MyRootCA.p12 -clcerts -nokeys -out MyRootCA.crt

Schlüssel aus jks extrahieren

openssl pkcs12 -in MyRootCA.p12 -nocerts -out encryptedPrivateKey.pem
openssl rsa -in encryptedPrivateKey.pem -out decryptedPrivateKey.key

Lösung 2:

Extrahieren Sie PEM und encryptedPrivateKey in die txt-Datei```

openssl pkcs12 -in MyRootCA.p12 -out keys_out.txt

PrivateKey entschlüsseln

openssl rsa -in encryptedPrivateKey.key [-outform PEM] -out decryptedPrivateKey.key

Update: Ich habe festgestellt, dass meine Antwort nur ein schlechtes Duplikat einer gut erklärten Frage von BryKKan auf https: //unix.stackexchange.com / ... war

Hier ist ein Auszug daraus:

openssl pkcs12 -in <filename.pfx> -nocerts -nodes | sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > <clientcert.key>

openssl pkcs12 -in <filename.pfx> -clcerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <clientcert.cer>

openssl pkcs12 -in <filename.pfx> -cacerts -nokeys -chain | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > <cacerts.cer>

Soweit ich weiß, ist PKCS # 12 nur ein Zertifikat- / öffentlicher / privater Schlüsselspeicher. Wenn Sie einen öffentlichen Schlüssel aus der PKCS # 12-Datei extrahiert haben, sollte OpenSSH ihn verwenden können, solange er im PEM- Format extrahiert wurde . Sie wissen wahrscheinlich bereits, dass Sie auch einen entsprechenden privaten Schlüssel (auch in PEM ) benötigen , um ihn für die Authentifizierung mit ssh-public-key zu verwenden.

Die akzeptierte Antwort ist der richtige Befehl. Ich möchte nur eine weitere Sache hinzufügen. Wenn Sie beim Extrahieren des Schlüssels das PEM-Passwort ( "Enter PEM pass phrase:") leer lassen, wird nicht der vollständige Schlüssel extrahiert, sondern nur derlocalKeyID . Um den vollständigen Schlüssel zu erhalten, müssen Sie ein PEM-Kennwort angeben, das den folgenden Befehl ausführt.

Bitte beachten Sie, dass Sie beim Importieren des Passworts das tatsächliche Passwort für angeben "Enter Import Password:"oder dieses Passwort leer lassen können:

openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem