openssl pkcs12 ยังคงเอาข้อความรหัสผ่าน PEM ออกจากรายการ keystore หรือไม่

OpenSSL 1.0.1e 11 ก.พ. 2556

การสร้างใบรับรองที่ลงนามเอง:

openssl req -x509 - newkey rsa: 1024 -keyout key.pem -out cert.pem - วันที่ 365

ในระหว่างกระบวนการขอข้อความรหัสผ่าน PEM :

ป้อนวลีรหัสผ่าน PEM:
กำลังตรวจสอบ - ป้อนวลีรหัสผ่าน PEM:

มี 2 ​​ไฟล์ที่ได้หลังจากเสร็จสิ้นการสำเร็จในรูปแบบPEM :

key.pem, cert.pem

ไพรเวตคีย์ ( key.pem ) อยู่ในรูปแบบPKCS # 8และบรรทัดเริ่มต้นอ่าน:

----- BEGIN กุญแจส่วนตัวเข้ารหัส -----

ตอนนี้ฉันกำลังพยายามที่จะรวมใบรับรองเช่นเดียวกับคีย์ส่วนตัวที่เกี่ยวข้องเป็นPKCS # 12 keystore และปกป้องเก็บคีย์กับรหัสผ่าน หมายเหตุ - จากความเข้าใจของฉันสิ่งนี้ควรบังคับใช้การร้องขอรหัสผ่านอย่างมีประสิทธิภาพระหว่างการเข้าถึงการอ่านรวมถึงวลีรหัสผ่านสำหรับคีย์ส่วนตัวของรายการตาม:

openssl pkcs12 -export -inkey key.pem -in cert.pem -out keystore.p12

เมื่อถูกดำเนินการฉันถูกถามถึงสิ่งต่อไปนี้:

ป้อนวลีรหัสผ่านสำหรับ key.pem:
ป้อนรหัสผ่านส่งออก:
กำลังตรวจสอบ - ป้อนรหัสผ่านส่งออก:

อย่างไรก็ตามฉันเข้าใจว่าข้อความรหัสผ่านควรยังคงไม่เปลี่ยนแปลงสำหรับรหัสส่วนตัวที่ถูกจัดเก็บในไฟล์keystore.p12 นี่คือวิธีที่ฉันพยายามอ่านเนื้อหาของ keystore:

openssl pkcs12 -nodes -info -in keystore.p12

เอาต์พุตที่ฉันได้รับ (เกี่ยวข้องกับการปกป้องที่เก็บคีย์ด้วยรหัสผ่านเท่านั้น ):

ป้อนรหัสผ่านนำเข้า:

และแสดงรายการใบรับรองเช่นเดียวกับคีย์ส่วนตัวในรูปแบบ PEM โดยไม่ต้องขอข้อความรหัสผ่านสำหรับหลัง นั่นเป็นปัญหาพื้นฐาน ข้อความรหัสผ่านพีอีเอ็มไม่ได้อยู่ที่นั่นเป็นคีย์ส่วนตัว ฉันทำอะไรผิดหรือฉันจะแก้ไขได้อย่างไร ขอขอบคุณ.

ไม่มีอะไรผิดปกติ นั่นคือวิธีที่ PKCS12 ทำงาน PKCS12 เป็นรูปแบบสำหรับการขนส่งโซ่ใบรับรองและคีย์ส่วนตัวระหว่างโทเค็นอย่างปลอดภัย การป้องกัน / เข้ารหัสของรหัสส่วนตัวทำโดยข้อความรหัสผ่านที่คุณป้อนเมื่อถูกถามว่า 'ใส่รหัสผ่านส่งออก' ไม่มีอะไรที่เหมือนกับกุญแจเข้ารหัสที่สองครั้ง

แก้ไข: งดเว้น-nodesตัวเลือก ที่จะปิดการเข้ารหัสของรหัสส่วนตัว