openssl pkcs12 continua removendo a senha do PEM da entrada do keystore?

2

OpenSSL 1.0.1e 11 Feb 2013

Gerando um certificado autoassinado:

openssl req -x509 -newkey rsa:1024 -keyout key.pem -out cert.pem -days 365

Durante o processo, é pedida uma senha do PEM :

Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

Existem dois arquivos resultantes após a conclusão bem-sucedida no formato PEM :

key.pem, cert.pem

A chave privada ( key.pem ) está no formato PKCS # 8 e a linha de partida é:

-----BEGIN ENCRYPTED PRIVATE KEY-----

Agora, estou tentando combinar o certificado, bem como a chave privada relacionada, em um keystore PKCS # 12 e proteger o keystore com uma senha . Nota - pelo que entendi, isso deve impor efetivamente a solicitação de uma senha durante o acesso de leitura, bem como uma frase secreta para a chave privada da entrada correspondente:

openssl pkcs12 -export -inkey key.pem -in cert.pem -out keystore.p12

Na execução, sou questionado sobre o seguinte:

Enter pass phrase for key.pem:
Enter Export Password:
Verifying - Enter Export Password:

No entanto, entendo que a frase secreta deve permanecer intacta para a chave privada que agora está sendo armazenada no keystore.p12 Arquivo. Aqui está como eu tento ler o conteúdo do keystore:

openssl pkcs12 -nodes -info -in keystore.p12

A saída que recebo (relacionada apenas à proteção do keystore com uma senha ):

Enter Import Password:

E lista o certificado, assim como a chave privada, no formato PEM, sem solicitar a senha longa para o último. Esse é basicamente o problema. A senha do PEM não está mais lá para a chave privada . O que estou fazendo de errado ou como posso consertar isso? Obrigado.

    
por XXL 28.11.2013 / 14:36

1 resposta

4

Não há nada de errado. É assim que o PKCS12 funciona. O PKCS12 é um formato para o transporte seguro de cadeias de certificados e chaves privadas entre tokens. A proteção / criptografia da chave privada é feita pela frase secreta que você digitou quando solicitada a mensagem 'Enter Export Password'. Nada como duas vezes chaves criptografadas.

EDITAR: omite a opção -nodes . Isso desativa a criptografia da chave privada.

    
por 05.12.2013 / 20:46