Portál AbcLinuxu, 6. května 2025 16:06

Dotaz: Problém s openssl pkcs12

24.5.2023 10:40 xouma
Problém s openssl pkcs12

Přečteno: 411×

Odpovědět | Admin

Soubory p12 s privátním klíčem a certifikátem vytvořené v opnssl 3.02 nejde zobrazit mimo jiné v gcr-viewer (3.40.0): vypíše se: "Nezdařilo se zobrazit „xxx.p12“ Důvod: Nelze analyzovat neplatná nebo poškozená data." Soubory jdou bez problému importovat třeba do Thunderbirdu nebo i windows, Starši soubory p12 vytvořené stejným způsobem ve starši verzi openssl gcr-viwer zobrazí. V čem se ty soubory můžou lišit? Nedalo by se dosáhnout kompatibility pomocí nějakých parametrů pro příkaz pkcs12? Zkoušel jsem třeba -nodes a -des, což nepomohlo.

Nástroje: Začni sledovat (0) ?

Odpovědi

24.5.2023 13:19 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Problém s openssl pkcs12

Musíš použít "-certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES"

openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -out certifikat.pfx -inkey privatni_cert.pem -in public_cert.cer -certfile ca_cert.crt

Tím vynutíš zpětnou kompatibilitu s velmi starými zařízeními (jako Windows Server 2012R2 apod.). Tato věc se přihodila někdy před rokem myslím.
Zdar Max

Měl jsem sen ... :(

24.5.2023 16:37 xouma
Rozbalit Rozbalit vše Re: Problém s openssl pkcs12

Díky! gcr-viewer se sice stále nechytá, ale jinde to pomohlo (např. na portal.ote-cr.cz)

1.6.2023 15:57 xouma
Rozbalit Rozbalit vše Re: Problém s openssl pkcs12

Pomohlo použít "-legacy".

openssl pkcs12 -export -legacy -out certifikat.p12 -inkey privatekey.pem -in certifikat.pem

Pak je potřeba použít "-legacy" při každé další práci s tím souborem.

$ openssl pkcs12 -legacy -info -in certifikat.p12 -noout
Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048

Založit nové vlákno • Nahoru

Tiskni Sdílej: