如何从 pkcs12 容器中删除私钥密码？

Question

1. 我使用 Chrome 的 SSL/export 命令提取了证书。
2. 然后将其作为输入提供给 openvpn - 在 openvpn 的配置中：
   pkcs12 "path/to/pkcs12_container"
3. 调用openvpn ~/openvp_config它时要求输入私钥密码（我在使用 Chrome 导出时输入）：
   Enter Private Key Password:...
4. 我想删除此密码请求。

问题：如何从pkcs12中删除私钥的密码？

也就是说，创建不需要密码的 pkcs12 文件。

（似乎一年前我已经以某种方式这样做了，现在忘记了。该死的。）

Answer 1

可以通过各种openssl调用来实现。

• PASSWORD 是您当前的密码
• YourPKCSFile 是您要转换的文件
• NewPKCSWithoutPassphraseFile 是没有密码的 PKCS12 的目标文件

首先，提取证书：

$ openssl pkcs12 -clcerts -nokeys -in "YourPKCSFile" \
      -out certificate.crt -password pass:PASSWORD -passin pass:PASSWORD

二、CA密钥：

$ openssl pkcs12 -cacerts -nokeys -in "YourPKCSFile" \
      -out ca-cert.ca -password pass:PASSWORD -passin pass:PASSWORD

现在，私钥：

$ openssl pkcs12 -nocerts -in "YourPKCSFile" \
      -out private.key -password pass:PASSWORD -passin pass:PASSWORD \
      -passout pass:TemporaryPassword

现在删除密码：

$ openssl rsa -in private.key -out "NewKeyFile.key" \
      -passin pass:TemporaryPassword

为新的 PKCS 文件整理一下：

$ cat "NewKeyFile.key"  \
      "certificate.crt" \
      "ca-cert.ca" > PEM.pem

并创建新文件：

$ openssl pkcs12 -export -nodes -CAfile ca-cert.ca \
      -in PEM.pem -out "NewPKCSWithoutPassphraseFile"

现在您有一个新的 PKCS12 密钥文件，私钥部分没有密码。

Answer 2

我发现的最简单的解决方案是

导出到临时 pem 文件

openssl pkcs12 -in protected.p12 -nodes -out temp.pem
#  -> Enter password

将 pem 转换回 p12

openssl pkcs12 -export -in temp.pem  -out unprotected.p12
# -> Just press [return] twice for no password

删除临时证书

rm temp.pem

Answer 3

这可以很容易地一步完成，无需临时文件：

openssl pkcs12 -in "PKCSFile" -nodes | openssl pkcs12 -export -out "PKCSFile-Nopass"

使用密码回答导入密码提示。使用 <CR> 回答导出密码提示

完毕。

请注意，这会处理捆绑包中可能存在的任意数量的中间证书......

我强烈建议小心处理生成的文件；首先将 umask 设置为 377 是个好主意（非 unix：这意味着只有所有者才能读取创建的文件。）我想这是 2 个步骤，如果您的默认 umask 是允许的...