Hallo Jens und Holger, Holger hat die PKI schon verstanden: der Server bräuchte ja nur den Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- normalerweise. Sowohl public als auch private key sind im *.p12-File gespeichert. Man müsste den public key also da herausholen können.
Nun lese ich gerade in einem Forum diesen Text: > .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key Cryptography Standards, the "12" variant was enhanced by Microsoft. This is a passworded container format that contains both public and private certificate pairs. Unlike .pem files, this container is fully encrypted. > Openssl can turn this into a .pem file with both public and private keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes (http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file> Da steht: "Unlike .pem files, this container is fully encrypted.". Der public key ist also auch einfach mal mit verschlüsselt. -- Klar, das Dateiformat wurde von Microsoft "enhanced"... Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb braucht man, um den public key aus dem *.p12-File zu extrahieren, ebenfalls das Nutzerpasswort. Clever, nicht wahr?? Viele Grüße, Rüdiger Am 28.03.2015 um 13:34 schrieb Jens Baumgärtner: > Hallo Holger, > > eben nicht, so funktioniert asymmetrische Kryptographie nicht. > Du benötigst dafür den PubKey und den PrivateKey. In den .p12-Dateien > ist der PrivateKey verschlüsselt abgespeichert (auch der PubKey?) > auf jeden Fall aber kann man aus dem PrivateKey wieder den > PubKey erzeugen. Der PrivateKey bringt mir ohne das Passwort > also nichts, denn der OpenVPN-Server braucht auf jeden Fall den > PubKey, der OpenVPN-Client den PrivateKey. Der PrivateKey liegt > zwar immer auch mit auf dem Server, damit man ihn von dort > herunterladen (Schulkonsole) kann. > > Grüße > Jens > > Am 28.03.2015 um 12:17 schrieb Holger Baumhof: >> Hallo Jens, >> >>> Das Zurückspielen der Zertifikate aus den [user].p12-Dateien geht übrigens >>> NICHT, da wir ohne >>> die Passwörter der User nicht an das verschlüsselte Zertifikat herankommen. >>> Sonst wäre das >>> mit openssl überhaupt kein Problem. Oder weiß da jemand, wie man ohne das >>> Passwort >>> zu kennen aus einer .p12 den public-Key extrahieren kann? >> .. du brauchst doch garnicht das Passwort: du mußt doch nur die datei >> wieder hochladen.. >> >> VIele Grüße >> >> Holger >> > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > -- Dr. Rüdiger Kupper <[email protected]> Kepler-Gymnasium Freudenstadt Email (geschäftl.): [email protected] Tel. (geschäftl.): 07441 / 86 05 9 - 600
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
