openssl pkcs12 ยังคงเอาข้อความรหัสผ่าน PEM ออกจากรายการ keystore หรือไม่


2

OpenSSL 1.0.1e 11 ก.พ. 2556

การสร้างใบรับรองที่ลงนามเอง:

openssl req -x509 - newkey rsa: 1024 -keyout key.pem -out cert.pem - วันที่ 365

ในระหว่างกระบวนการขอข้อความรหัสผ่าน PEM :

ป้อนวลีรหัสผ่าน PEM:
กำลังตรวจสอบ - ป้อนวลีรหัสผ่าน PEM:

มี 2 ​​ไฟล์ที่ได้หลังจากเสร็จสิ้นการสำเร็จในรูปแบบPEM :

key.pem, cert.pem

ไพรเวตคีย์ ( key.pem ) อยู่ในรูปแบบPKCS # 8และบรรทัดเริ่มต้นอ่าน:

----- BEGIN กุญแจส่วนตัวเข้ารหัส -----

ตอนนี้ฉันกำลังพยายามที่จะรวมใบรับรองเช่นเดียวกับคีย์ส่วนตัวที่เกี่ยวข้องเป็นPKCS # 12 keystore และปกป้องเก็บคีย์กับรหัสผ่าน หมายเหตุ - จากความเข้าใจของฉันสิ่งนี้ควรบังคับใช้การร้องขอรหัสผ่านอย่างมีประสิทธิภาพระหว่างการเข้าถึงการอ่านรวมถึงวลีรหัสผ่านสำหรับคีย์ส่วนตัวของรายการตาม:

openssl pkcs12 -export -inkey key.pem -in cert.pem -out keystore.p12

เมื่อถูกดำเนินการฉันถูกถามถึงสิ่งต่อไปนี้:

ป้อนวลีรหัสผ่านสำหรับ key.pem:
ป้อนรหัสผ่านส่งออก:
กำลังตรวจสอบ - ป้อนรหัสผ่านส่งออก:

อย่างไรก็ตามฉันเข้าใจว่าข้อความรหัสผ่านควรยังคงไม่เปลี่ยนแปลงสำหรับรหัสส่วนตัวที่ถูกจัดเก็บในไฟล์keystore.p12 นี่คือวิธีที่ฉันพยายามอ่านเนื้อหาของ keystore:

openssl pkcs12 -nodes -info -in keystore.p12

เอาต์พุตที่ฉันได้รับ (เกี่ยวข้องกับการปกป้องที่เก็บคีย์ด้วยรหัสผ่านเท่านั้น ):

ป้อนรหัสผ่านนำเข้า:

และแสดงรายการใบรับรองเช่นเดียวกับคีย์ส่วนตัวในรูปแบบ PEM โดยไม่ต้องขอข้อความรหัสผ่านสำหรับหลัง นั่นเป็นปัญหาพื้นฐาน ข้อความรหัสผ่านพีอีเอ็มไม่ได้อยู่ที่นั่นเป็นคีย์ส่วนตัว ฉันทำอะไรผิดหรือฉันจะแก้ไขได้อย่างไร ขอขอบคุณ.

คำตอบ:


5

ไม่มีอะไรผิดปกติ นั่นคือวิธีที่ PKCS12 ทำงาน PKCS12 เป็นรูปแบบสำหรับการขนส่งโซ่ใบรับรองและคีย์ส่วนตัวระหว่างโทเค็นอย่างปลอดภัย การป้องกัน / เข้ารหัสของรหัสส่วนตัวทำโดยข้อความรหัสผ่านที่คุณป้อนเมื่อถูกถามว่า 'ใส่รหัสผ่านส่งออก' ไม่มีอะไรที่เหมือนกับกุญแจเข้ารหัสที่สองครั้ง

แก้ไข: งดเว้น-nodesตัวเลือก ที่จะปิดการเข้ารหัสของรหัสส่วนตัว


ฉันค่อนข้างมั่นใจว่าฉันได้รับแจ้งให้ป้อนรหัสผ่าน PEMหนึ่งครั้งเมื่อฉัน-infoในไฟล์. p12สองไฟล์ (ฉันดูเหมือนจะไม่สามารถทำซ้ำขั้นตอนที่แน่นอนที่ฉันดำเนินการเพื่อทริกเกอร์มันได้ แต่ทำไมฉันโพสต์)
XXL

ลองเหมือนกันกับ NSS certutil และ pk12util ... คุณจะได้รับพฤติกรรมเช่นเดียวกับที่ฉันพูดถึง หากถูกถามถึงPEM Passนั่นคือเมื่อคุณส่งออกสิ่งของจาก PKCS12 ... และเก็บรหัสเหล่านั้นในรูปแบบ PEM - ข้อมูลคือgive info about PKCS#12 structureไม่ส่งออก
nudzo

ฉันเป็นเพียงการใช้-infoรายการเนื้อหาของ keystore และผมมั่นใจว่าผมได้รับการร้องขอให้ป้อนPEMข้อความรหัสผ่านเมื่อทำเช่นนั้น (ผมไม่ได้ฝันเพราะฉะนั้นเหตุผลที่ผมให้ออกรางวัลกับคำถามนี้) - SafeBagตู้คอนเทนเนอร์ควรพกรหัสผ่านไปด้วย
XXL

บังเอิญฉันต้องทำการอัพเดทบางอย่างเมื่อวานนี้และรู้ว่าคำถามของคุณเกี่ยวกับ ... คำตอบข้างต้นในการแก้ไข
nudzo

ฉันคิดว่าคุณถอดรหัสมัน :) ฉันเหลือคำถามเพียง 1 ข้อ - จางกึนซอกคาดว่าจะประพฤติเช่นเดียวกับในขณะที่มันไม่สนับสนุนการปกป้องคู่ใบรับรอง / คีย์ส่วนตัวด้วยรหัสผ่านแบบสแตนด์อโลนหรือไม่? บางทีคุณอาจเคยเจอมาบ้างในบางโอกาส
XXL
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.