我想从PKCS#12文件中提取公钥和私钥,以便以后在SSH-Public-Key-Authentication中使用。
现在,我通过ssh-keygen生成密钥,我把它放在。ssh/authorized_key中,分别放在客户端的某个地方。
以后,我想使用PKCS#12容器中的密钥,因此我必须首先从PKCS#12中提取公钥,然后将它们放入.ssh/authorized_keys文件中。有没有机会让这个工作通过openssl?PKCS#12中的密钥是否与ssh-public-key身份验证兼容?
当前回答
这可以通过一些格式转换实现。
要以openssh可以使用的格式提取私钥:
openssl pkcs12 -in pkcs12.pfx -nocerts -nodes | openssl rsa > id_rsa
使用实例将私钥转换为公钥。
openssl rsa -in id_rsa -pubout | ssh-keygen -f /dev/stdin -i -m PKCS8
以openssh可以使用的格式提取公钥:
openssl pkcs12 -in pkcs12.pfx -clcerts -nokeys | openssl x509 -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8
其他回答
接受的答案是正确的命令,我只想添加一个额外的东西,当提取密钥时,如果你留下PEM密码(“Enter PEM pass phrase:”)空白,那么完整的密钥将不会被提取,而只会提取localKeyID。要获得完整的密钥,您必须在运行以下命令时指定PEM密码。
请注意,当涉及到导入密码时,你可以为“Enter Import password:”指定实际的密码,或者可以让这个密码为空:
openssl pkcs12 -in yourP12File.pfx -nocerts -out privateKey.pem
您可以使用以下命令从PKCS#12容器中提取公钥/私钥:
PKCS#1私钥 openssl pkcs12 -在你的p12file中。pfx -nocerts privateKey.pem 证书: openssl pkcs12 -在你的p12file中。pfx -clcerts -nokeys out publicCert.pem
据我所知,PKCS#12只是一个证书/公钥/私钥存储。如果您从PKCS#12文件中提取了一个公钥,OpenSSH应该能够使用它,只要它是以PEM格式提取的。您可能已经知道,为了将其用于ssh-public-key身份验证,还需要一个相应的私钥(也是在PEM中)。
解决方案1:
从jks中提取P12
keytool -importkeystore -srckeystore MyRootCA.jks -destkeystore MyRootCA.p12 -deststoretype PKCS12
从P12文件中提取PEM,从crt文件中编辑文件和PEM
openssl pkcs12 -in MyRootCA.p12 -clcerts -nokeys -out MyRootCA.crt
从jks中提取密钥
openssl pkcs12 -in MyRootCA.p12 -nocerts -out encryptedPrivateKey.pem
openssl rsa -in encryptedPrivateKey.pem -out decryptedPrivateKey.key
解决方案2:
将PEM和encryptedPrivateKey提取到txt文件' ' '
openssl pkcs12 -in MyRootCA.p12 -out keys_out.txt
解密privateKey
openssl rsa -in encryptedPrivateKey.key [-outform PEM] -out decryptedPrivateKey.key
OpenSSH不能开箱即用pkcs# 12文件。正如其他人建议的那样,您必须以PEM格式提取私钥,这将使您从OpenSSL的土地到OpenSSH。这里提到的其他解决方案对我不起作用。我使用的OS X 10.9 Mavericks(目前是10.9.3)带有“预先打包的”实用程序(OpenSSL 0.9.8y, OpenSSH 6.2p2)。
首先,提取一个PEM格式的私钥,供OpenSSH直接使用:
openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa > ~/.ssh/id_rsa
我强烈建议使用密码加密私钥:
openssl pkcs12 -in filename.p12 -clcerts -nodes -nocerts | openssl rsa -passout 'pass:Passw0rd!' > ~/.ssh/id_rsa
显然,在命令行上写明文密码也不安全,所以应该从历史记录中删除最后一个命令,或者确保它不会出现在历史记录中。不同的外壳有不同的方式。您可以为命令加上空格前缀,以防止它在Bash和许多其他shell中被保存到历史文件中。下面是如何从Bash的历史记录中删除命令:
history -d $(history | tail -n 2 | awk 'NR == 1 { print $1 }')
或者,您可以使用不同的方式将私钥密码传递给OpenSSL——有关密码短语参数,请参阅OpenSSL文档。
然后,创建一个OpenSSH公钥,可以添加到authorized_keys文件中:
ssh-keygen -y -f ~/.ssh/id_rsa > ~/.ssh/id_rsa.pub
推荐文章
- 从PKCS12文件中提取公钥/私钥,供以后在SSH-PK-Authentication中使用
- 如果我撤销一个现有的分发证书,它会不会对现有的应用程序造成影响?
- 在python shell中按方向键时看到转义字符
- 如何忽略ansible SSH的真实性检查?
- 如何移除SSH密钥?
- "ERROR:root:code for hash md5 was not found"当使用任何hg mercurial命令时
- Bitbucket上的Git:总是要求密码,即使上传了我的公共SSH密钥
- BEGIN RSA PRIVATE KEY与BEGIN PRIVATE KEY的区别
- Github权限被拒绝:ssh添加代理没有身份
- 警告:未受保护的私钥文件!当尝试SSH到Amazon EC2实例时
- 如何设置ssh超时时间?
- 如何在SSH上使用Sublime
- Ruby Bundle Symbol not found: _SSLv2_client_method (LoadError)
- 使用Git GUI或SSH -keygen的SSH私钥权限太开放
- 在gitlab上被拒绝许可(公钥)
