Technologie

Wie exportiere ich mit OpenSSL unter Windows ein PKCS

Melden
  1. Kurzbeschreibung der Aufgabe
  2. Vorbereitung
  3. PKCS#12 (PFX/P12) erzeugen
  4. PKCS#8 privaten Schlüssel erzeugen/konvertieren
  5. Hinweise zur Sicherheit und Kompatibilität
  6. Fehlerbehebung

Wie exportiere ich mit OpenSSL unter Windows ein PKCS?

Kurzbeschreibung der Aufgabe

Es geht darum, mit OpenSSL unter Windows ein Zertifikat und/oder einen privaten Schlüssel in ein PKCS-Format zu exportieren, typischerweise PKCS#12 (.p12/.pfx) oder PKCS#8 für private Schlüssel. PKCS#12 fasst Zertifikat, ggf. Zwischenzertifikate und den privaten Schlüssel in einer passwortgeschützten Datei zusammen; PKCS#8 ist ein Standardformat für einzelne private Schlüssel.

Vorbereitung

Installieren Sie OpenSSL für Windows (z. B. aus dem offiziellen Win32/Win64-Build oder über Paketmanager wie Chocolatey). Legen Sie die Quelldateien parat: das Zertifikat (PEM- oder DER-Format), den privaten Schlüssel (PEM, ggf. passphrase-geschützt) und optional die Kette/Intermediate-Zertifikate als PEM-Datei. Öffnen Sie die Eingabeaufforderung oder PowerShell im Verzeichnis mit den Dateien oder geben Sie absolute Pfade an.

PKCS#12 (PFX/P12) erzeugen

Verwenden Sie den Befehl openssl pkcs12 -export um Zertifikat, optional die CA-Kette und den privaten Schlüssel in eine .p12/.pfx-Datei zu schreiben. Ein typisches Kommando lautet:

openssl pkcs12 -export -out meinzertifikat.p12 -inkey privkey.pem -in cert.pem -certfile ca-chain.pem

Sie werden zur Eingabe eines Exportpassworts aufgefordert; dieses schützt die .p12-Datei. Ist der private Schlüssel mit einer Passphrase geschützt, fragt OpenSSL diese ebenfalls ab. Wenn Ihre Dateien in anderen Formaten vorliegen (z. B. DER), konvertieren Sie vorher mit openssl x509 -inform der -in cert.der -out cert.pem oder openssl rsa / openssl pkcs8 für Schlüssel.

PKCS#8 privaten Schlüssel erzeugen/konvertieren

Möchten Sie den privaten Schlüssel im PKCS#8-Format (cleartext oder verschlüsselt) erzeugen oder konvertieren, nutzen Sie openssl pkcs8. Für unverschlüsselten PKCS#8:

openssl pkcs8 -topk8 -nocrypt -in privkey.pem -out privkey_pkcs8.pem

Für verschlüsselten PKCS#8 (z. B. AES-verschlüsselt):

openssl pkcs8 -topk8 -v2 aes256 -in privkey.pem -out privkey_pkcs8_enc.pem

Bei Schlüsseln im alten RSA-Format können Sie alternativ openssl rsa zur Konvertierung verwenden.

Hinweise zur Sicherheit und Kompatibilität

Wählen Sie starke Passwörter für exportierte PKCS#12- und PKCS#8-Dateien. Achten Sie auf Dateiberechtigungen unter Windows und löschen Sie temporäre PEM-Dateien, wenn sie nicht mehr benötigt werden. Manche Anwendungen (z. B. Windows Zertifikat-Manager, IIS) erwarten .pfx; andere Systeme benötigen PKCS#8. Prüfen Sie Kompatibilität und gegebenenfalls die erforderliche Verschlüsselungsoption (z. B. -v2 aes256) für PKCS#8.

Fehlerbehebung

Treten Fehler auf, prüfen Sie Pfade, Dateiformate und Passphrasen. Verwenden Sie openssl x509 -text -noout -in cert.pem und openssl rsa -check -in privkey.pem beziehungsweise openssl pkey -in privkey.pem -pubout um Dateien zu inspizieren und Formatprobleme zu erkennen.

0