Hallo Rüdiger,
> Hallo Jens und Holger, > > Holger hat die PKI schon verstanden: der Server bräuchte ja nur den > Public-Key des Nutzers, und der ist normalerweise nicht verschlüsselt -- > normalerweise. Sowohl public als auch private key sind im *.p12-File > gespeichert. Man müsste den public key also da herausholen können. > > Nun lese ich gerade in einem Forum diesen Text: >> .pkcs12 .pfx .p12 Originally defined by RSA in the Public-Key > Cryptography Standards, the "12" variant was enhanced by Microsoft. This > is a passworded container format that contains both public and private > certificate pairs. Unlike .pem files, this container is fully encrypted. >> Openssl can turn this into a .pem file with both public and private > keys: openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes > > (http://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file> > > Da steht: "Unlike .pem files, this container is fully encrypted.". Der > public key ist also auch einfach mal mit verschlüsselt. -- Klar, das > Dateiformat wurde von Microsoft "enhanced"... > > Also: Microsoft hat wohl die PKI nicht ganz verstanden, und deshalb > braucht man, um den public key aus dem *.p12-File zu extrahieren, > ebenfalls das Nutzerpasswort. Clever, nicht wahr?? > das hat M$ ja mal wieder prächtig hinbekommen: Da verschlüsseln die einen PUBLIC Key - warum ist der nur public? OK, aber selbst mit reinem openssl wäre die Lage bei uns nicht besser, denn in den HomeVezeichnissen der User steht normalerweise nur der Private-Key zur Verfügung, auf dem Server der passende public (und auch der private) - Key. Aus dem privateKey lässt sich zwar der publicKey erzeugen, aber bei einem passwortgeschützten privateKey eben erst nach Eingabe des Passworts Test: * ssh-keygen -t rsa -f test.rsa erzeugt ein Schlüsselpaar test.rsa und test.rsa.pub nach Eingabe eines frei gewählten Passworts * openssl rsa -text -noout -in test.rsa Zeigt das Zertifikat nach Eingabe des Passworts an * openssl rsa -in test.rsa -pubout -out test_rsa.pub Das wäre der Befehl, mit dem wir den publicKey erzeugen könnten aber eben erst nach Eingabe des Passworts Bei der Sicherung des ipFire läuft bei uns was schief, der sichert seit 10/2014 nicht mehr - komisch, aber ich glaube zu diesem Zeitpunkt habe ich den ipFire mal upgedatet. Naja, wenigsten die User, die vor Oktober ihr Zertifikat erstellt haben, bekommen es wieder :-) Grüße Jens
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
