使用OpenSSL从PKCS＃12文件导出证书和私钥-SSL.com

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

文武双全的蚂蚁 · OneDrive容量缩水，微软安抚用户：Of ...· 2 月前 ·

谈吐大方的毛巾 · 重庆市人民政府关于印发重庆市科技创新“十四五 ...· 2 月前 ·

玩手机的甜瓜 · 南阳一高和一中是一个学校吗（南阳一高和一中是 ...· 4 月前 ·

无邪的便当 · 土地确权公告-宣城市自然资源和规划局· 6 月前 ·

没有腹肌的开水瓶 · 辽宁日报· 6 月前 ·

托管 PKI 借助SSL.com的世界一流的CA为您提供支持 PKI
定制品牌的发行CA 借助SSL.com的世界一流的CA为您提供支持 PKI
物联网（IOT）定制物联网解决方案
政府提供基本服务时保护个人数据
能源工业北美能源标准委员会（NAESB）认证证书颁发机构
SSL Manager Windows证书管理应用程序
电子签名者云文档和代码签名服务

概述通过与SSL.com合作获得收入
SSL.com 联盟计划赚取高达 25% 的佣金 PKI、云签名和证书解决方案自动
经销商和批量采购合作伙伴释放收入潜力 PKI、使用 SSL.com 的云签名和数字信任服务
成为SSL.com合作伙伴与领先的信托服务提供商合作

关于SSL.com 了解有关 SSL.com 的更多信息，SSL.com 是一家自 2002 年开始营业的全球值得信赖的证书颁发机构
博客有关SSL.com和 PKI
加入我们正在寻找一个鼓励创造性思维并奖励辛勤工作的灵活环境？我们正在招聘！
隐私政策我们如何收集有关客户的信息我们如何使用该信息信息共享政策
服务条款 SSL.com 的服务条款
CA资料库 • 实践声明 • 文档存储库

We hope you will find the Google translation service helpful, but we don't promise that Google's translation will be accurate or complete. You should not rely on Google's translation. English is the official language of our site.

请注意： 本文不适用于 SSL.com 代码签名和文档签名证书。这些类型的证书的私钥无法导出，也无法生成为 .pfx 文件。 SSL.com 代码签名和文档签名证书及其私钥只能生成并存储在 eSigner 云签名环境，以 Yubikey 设备，或支持的云HSM .

本操作方法将引导您逐步使用OpenSSL从PKCS＃12文件中提取信息。 PKCS＃12（也称为PKCS12或PFX）是一种二进制格式，用于将证书链和私钥存储在单个可加密文件中。 PKCS＃12文件通常用于在Windows和macOS计算机上导入和导出证书和私钥，并且通常具有文件扩展名 .p12 or .pfx .

如需更多有用的操作方法和最新的网络安全新闻，请在此处注册 SSL.com 的时事通讯：

在下面显示的所有示例中，用您实际使用的文件名代替 INFILE.p12 , OUTFILE.crt 及 OUTFILE.key .

在屏幕上查看PKCS＃12信息

要将PKCS＃12文件中的所有信息转储到 PEM格式，请使用以下命令：

openssl pkcs12 -info -in INFILE.p12 -nodes

然后，将提示您输入PKCS＃12文件的密码：

输入导入密码：

输入创建PKCS＃12文件时输入的密码，然后按 enter 。 OpenSSL会将文件中的所有证书和私钥输出到屏幕：

袋属性localKeyID：AC 3E 77 9A 99 62 84 3D 77 CB 44 0D F9 78 57 7C 08 28 05 97 subject = / CN = Aaron Russell/emailAddress=*********@gmail.com issuer = / C = US / ST =得克萨斯/ L =休斯顿/ O = SSL公司/ CN = SSL.com客户端证书中间CA RSA R1 ----- BEGIN CERTIFICATE ----- MIIF1DCCA7ygAwIBAgIQcOrAJCMayJsZBKJsyz / aQDANBgkqhkiG9w0BAQsFADB + MQswCQYDVQQGEwJVUzEOMAwGA1UECAwFVGV4YXMxEDAOBgNVBAcMB0hvdXN0b24x ETAPBgNVBAoMCFNTTCBDb3JwMTowOAYDVQQDDDFTU0wuY29tIENsaWVudCBDZXJ0 ... bwK6ABAZUq6QcvhD0LYsXya + ncDCR6wxb9E0DWd4ATQMzxGTu / yE3kT + 9Ef6IY + n armh3HZUfan2Hb64YD0tjLMca / PC + sKAZu28gB / 3HQRHIFugvh6RO3bIoorl0jUg 1Ml2R83 ++ PRIVATE-SUHL0 ----

如果您想加密私钥并在输出之前使用密码对其进行保护，则只需省略 -nodes 来自命令的标志：

openssl pkcs12 -info -in INFILE.p12

在这种情况下，OpenSSL输出任何证书后，系统将提示您输入并验证新密码，并且私钥将被加密（请注意，密钥的文本以 -----BEGIN ENCRYPTED PRIVATE KEY-----):

输入PEM密码短语：验证 - 输入PEM密码短语：----- BEGIN加密的私有密钥----- MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIGwhJIMXRiLQCAggA MBQGCCqGSIb3DQMHBAiXdeymTYuedgSCBMjwGg78PsqiNJLfpDFbMxL98u3tK9Cs ... SGVCCBj5vBpSbBXAGbOv74h4satKmAMgGc8SgU06geS9gFgt / wLwehMJ / H4BSmex 4S / 2tYzZrDBJkfH9JpggubYRTgwfAGY2BkX03dK2sqfu + QVTVTKMj2VI0sKcFfLZ BDW = ----- END ENCRYPTED私钥----

仅提取证书或私钥

如果只想输出私钥，请添加 -nocerts 到命令：

openssl pkcs12 -info -in INFILE.p12 -nodes -nocerts

如果只需要证书，请使用 -nokeys （由于我们不关心私钥，因此我们也可以安全地省略 -nodes):

openssl pkcs12 -info -in INFILE.p12 -nokeys

将证书和私钥保存到文件

您可以从PKCS＃12文件中导出证书和私钥，并通过指定输出文件名将它们以PEM格式保存到新文件中：

openssl pkcs12 -in INFILE.p12 -out OUTFILE.crt-节点

同样，系统将提示您输入PKCS＃12文件的密码。和以前一样，您可以通过删除 -nodes 从命令中标记和/或添加 -nocerts or -nokeys 仅输出私钥或证书。因此，要生成私钥文件，我们可以使用以下命令：

openssl pkcs12 -in INFILE.p12 -out OUTFILE.key -nodes -nocerts

要创建仅包含证书的文件，请使用以下命令：

openssl pkcs12 -in INFILE.p12 -out OUTFILE.crt -nokeys

将私钥转换为PKCS＃1格式

上面的示例均以OpenSSL的默认值输出私钥 PKCS＃8 格式。如果你知道你需要 PKCS＃1 相反，您可以根据密钥类型将OpenSSL的PKCS＃12实用程序的输出传递到其RSA或EC实用程序。以下两个命令都将以PKCS＃1格式输出密钥文件：

openssl pkcs12 -in INFILE.p12-节点-nocerts | openssl rsa -out OUTFILE.key

ECDSA

openssl pkcs12 -in INFILE.p12-节点-nocerts | openssl ec -out OUTFILE.key

请注意： 您可以通过查看文本的第一行来区分PKCS＃8和PKCS＃1私钥文件之间的区别。 PKCS＃1文件将指定算法：
-----BEGIN RSA PRIVATE KEY-----

PKCS＃8文件未显示该算法，并且也可能被加密：
-----BEGIN PRIVATE KEY-----
-----BEGIN ENCRYPTED PRIVATE KEY-----

感谢您选择SSL.com！如有任何疑问，请通过电子邮件与我们联系 [email protected]，致电 1-877-SSL-SECURE，或只需单击此页面右下方的聊天链接。

本网站使用Cookie，以便我们可以为您提供最佳的用户体验。 Cookie信息存储在您的浏览器中，并执行诸如在您返回我们的网站时识别您的身份以及帮助我们的团队了解您发现网站中最有趣和有用的部分之类的功能。

欲了解更多信息，请阅读我们的 Cookie和隐私声明.