Wie kann man mit OpenSSL unter Windows einen privaten Schlüssel exportieren?
- Vorbereitung: OpenSSL unter Windows installieren
- Was bedeutet das Exportieren eines privaten Schlüssels?
- Private Schlüsselformate unter OpenSSL
- Exportieren eines privaten Schlüssels aus einer PEM-Datei
- Exportieren eines privaten Schlüssels aus einer PKCS#12-Datei (.pfx/.p12)
- Sicherheitshinweise beim Export privater Schlüssel
- Fazit
OpenSSL ist ein weitverbreitetes Werkzeug zur Erstellung und Verwaltung von Zertifikaten und Schlüsselpaaren. Unter Windows wird es oft über die Kommandozeile genutzt, um unter anderem private Schlüssel zu exportieren und weiterzuverwenden. In diesem Artikel wird ausführlich erklärt, wie man mit OpenSSL auf einem Windows-System einen privaten Schlüssel exportieren kann.
Vorbereitung: OpenSSL unter Windows installieren
Bevor Sie private Schlüssel mit OpenSSL exportieren können, müssen Sie sicherstellen, dass OpenSSL auf Ihrem Windows-Rechner installiert ist. Viele Windows-Versionen haben OpenSSL nicht vorinstalliert, deshalb kann es notwendig sein, eine passende Version herunterzuladen. Es gibt mehrere Quellen, beispielsweise die offiziellen OpenSSL-Builds für Windows oder Drittanbieter wie Shining Light Productions.
Nach der Installation sollten Sie den OpenSSL-Binärordner zu Ihren Umgebungsvariablen hinzufügen, damit der Befehl openssl überall in der Eingabeaufforderung verwendet werden kann.
Was bedeutet das Exportieren eines privaten Schlüssels?
Das Exportieren eines privaten Schlüssels bedeutet, dass der Schlüssel in eine Datei geschrieben wird, die dann an einem anderen Ort gespeichert, übertragen oder genutzt werden kann. Private Schlüssel sind sensible Daten, da mit ihnen beispielsweise Zertifikate entschlüsselt oder digitale Signaturen erstellt werden können. Daher ist es wichtig, den Export immer sicher vorzunehmen und die Schlüssel datei sicher aufzubewahren.
Private Schlüsselformate unter OpenSSL
OpenSSL unterstützt verschiedene Formate für private Schlüssel. Die gängigsten sind PEM (Privacy Enhanced Mail), welches ein textbasiertes Base64-codiertes Format mit Kopf- und Fußzeilen ist, und DER, ein binäres Format. Zudem kann ein privater Schlüssel in einem PKCS#12-Dateiformat (.p12 oder .pfx) gespeichert sein, das häufig auch Zertifikate und den privaten Schlüssel in einem Container vereint.
Exportieren eines privaten Schlüssels aus einer PEM-Datei
Wenn Sie einen privaten Schlüssel bereits in einer PEM-Datei besitzen, kann es sein, dass Sie ihn in ein anderes Format exportieren oder einfach die Datei kopieren möchten. Zum Beispiel können Sie eine verschlüsselte PEM-Datei entschlüsseln und den Schlüssel unverschlüsselt speichern.
Der Befehl hierfür lautet unter Windows (in der Eingabeaufforderung):
openssl rsa -in verschluesselt_key.pem -out unverschluesselt_key.pemDabei fragt OpenSSL nach dem Passwort der verschlüsselten PEM-Datei und gibt anschließend eine unverschlüsselte Version der Schlüsseldatei aus.
Exportieren eines privaten Schlüssels aus einer PKCS#12-Datei (.pfx/.p12)
Besonders im Windows-Umfeld sind Zertifikate und Schlüssel oft als .pfx- oder .p12-Dateien vorhanden. Diese enthalten den privaten Schlüssel und das zugehörige Zertifikat in einem Container und sind häufig durch ein Passwort geschützt.
Um den privaten Schlüssel daraus zu extrahieren, können Sie OpenSSL wie folgt verwenden:
openssl pkcs12 -in datei.pfx -nocerts -out privkey.pemDieser Befehl fragt nach dem Passwort der PKCS#12-Datei und anschließend, ob der private Schlüssel mit einem Passwort geschützt werden soll. Wenn Sie keinen Schutz wünschen, können Sie später optional den Schlüssel entschlüsseln oder mit Passwort lassen.
Möchten Sie den privaten Schlüssel unverschlüsselt exportieren, so können Sie danach noch den Schlüssel mit folgendem Befehl entschlüsseln:
openssl rsa -in privkey.pem -out privkey_unverschluesselt.pemSicherheitshinweise beim Export privater Schlüssel
Das Exportieren und Speichern privater Schlüssel birgt Sicherheitsrisiken. Private Schlüssel sollten niemals öffentlich zugänglich gemacht werden. Wenn Sie Schlüssel exportieren, achten Sie darauf, die Dateien an sicheren Orten aufzubewahren und Passwörter bzw. Verschlüsselung zum Schutz der Schlüssel in Betracht zu ziehen. Besonders bei unverschlüsselten Schlüsseln ist das Risiko sehr hoch.
Darüber hinaus sollten exportierte Schlüssel nicht dauerhaft unverschlüsselt gespeichert oder per unsicheren Kanälen übertragen werden.
Fazit
Das Exportieren eines privaten Schlüssels unter Windows mit OpenSSL ist dank verschiedener Befehle gut möglich. Abhängig vom Format der Ursprungsschlüsseldatei, wie PEM oder PKCS#12, variieren die genutzten Befehle. Wichtig ist, die Sicherheit des Schlüssels während und nach dem Exportvorgang stets zu gewährleisten.