如何从pkcs12容器中删除私钥密码？

1. 我使用Chrome的SSL / export命令提取了证书。
2. 然后提供它作为openvpn的输入-在openvpn的配置中：
   pkcs12 "path/to/pkcs12_container"
3. 调用openvpn ~/openvp_config时要求输入私钥密码（我在使用Chrome导出时输入的密码）：
   Enter Private Key Password:...
4. 我要删除此密码请求。

问题：如何从pkcs12中删除私钥的密码？

也就是说，创建不需要密码的pkcs12文件。

（似乎我一年前已经以某种方式做了，现在却忘记了。该死。）

可以通过各种openssl调用来实现。

• 密码是您当前的密码
• YourPKCSFile是您要转换的文件
• NewPKCSWithoutPassphraseFile是没有密码短语的PKCS12的目标文件

首先，提取证书：

$ openssl pkcs12 -clcerts -nokeys -in "YourPKCSFile" \
      -out certificate.crt -password pass:PASSWORD -passin pass:PASSWORD

二，CA密钥：

$ openssl pkcs12 -cacerts -nokeys -in "YourPKCSFile" \
      -out ca-cert.ca -password pass:PASSWORD -passin pass:PASSWORD

现在，私钥：

$ openssl pkcs12 -nocerts -in "YourPKCSFile" \
      -out private.key -password pass:PASSWORD -passin pass:PASSWORD \
      -passout pass:TemporaryPassword

现在删除密码：

$ openssl rsa -in private.key -out "NewKeyFile.key" \
      -passin pass:TemporaryPassword

将新的PKCS文件放在一起：

$ cat "NewKeyFile.key"  \
      "certificate.crt" \
      "ca-cert.ca" > PEM.pem

并创建新文件：

$ openssl pkcs12 -export -nodes -CAfile ca-cert.ca \
      -in PEM.pem -out "NewPKCSWithoutPassphraseFile"

现在，您有了一个新的PKCS12密钥文件，在私钥部分上没有密码短语。

我找到的最简单的解决方案是

导出到临时Pem文件

openssl pkcs12 -in protected.p12 -nodes -out temp.pem
#  -> Enter password

将pem转换回p12

openssl pkcs12 -export -in temp.pem  -out unprotected.p12
# -> Just press [return] twice for no password

删除临时证书

rm temp.pem

无需临时文件，只需一步即可轻松完成：

openssl pkcs12 -in "PKCSFile" -nodes | openssl pkcs12 -export -out "PKCSFile-Nopass"

使用密码回答“导入密码”提示。用<CR>回答Export Passowrd提示

做完了

请注意，这可以处理捆绑中可能包含的任意数量的中间证书...

我强烈建议您小心生成的文件；首先将umask设置为377是一个好主意（非unix：这意味着只有所有者可以读取创建的文件。）如果您的默认umask允许，我想这是2个步骤...

现在，私钥：

openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -password pass:PASSWORD -passin pass:PASSWORD -passout pass:TemporaryPassword

立即删除密码：

openssl rsa -in private.key -out "NewKeyFile.key" -passin pass:TemporaryPassword

这两个步骤可以替换为

openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -nodes

这些都不对我有用。最后，我恢复了第一次工作的dotNet代码。

class Script
{
    static public void Main(string[] args)
    {
                if (args.Length < 3 || args.Contains("/?"))
                {
                    MainHelp(args);
                    return;
                }
       string _infile = args[0],
                        _outfile = args[2];
                string _password = args[1], _outpassword = (args.Length > 3) ? args[3] : "";
                Console.WriteLine(String.Format("{0} -> {1} with ({2} -> {3})", _infile, _outfile, _password, _outpassword));
                System.Security.Cryptography.X509Certificates.X509Certificate2 cert = null;
                Console.WriteLine(String.Format("Load {0} with {2}", _infile, _outfile, _password, _outpassword));
                cert = new System.Security.Cryptography.X509Certificates.X509Certificate2(_infile, _password, X509KeyStorageFlags.Exportable);
                Console.WriteLine(String.Format("Export {1} with {3}", _infile, _outfile, _password, _outpassword));
                System.IO.File.WriteAllBytes(_outfile, cert.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pfx, _outpassword));
                Console.WriteLine(String.Format("Export complete", _infile, _outfile, _password, _outpassword));
    }

     static public void MainHelp(string[] args)
    {
            Console.WriteLine("Usage pfxremovepwd [inpfx] [inpwd] [outpfx] [optional outpwd]");
            return;
    }
}