Como remover a senha da chave privada do contêiner pkcs12?

Pode ser alcançado por várias opensslchamadas.

• SENHA é sua senha atual
• YourPKCSFile é o arquivo que você deseja converter
• NewPKCSWithoutPassphraseFile é o arquivo de destino para o PKCS12 sem senha

Primeiro, extraia o certificado:

$ openssl pkcs12 -clcerts -nokeys -in "YourPKCSFile" \
      -out certificate.crt -password pass:PASSWORD -passin pass:PASSWORD

Em segundo lugar, a chave CA:

$ openssl pkcs12 -cacerts -nokeys -in "YourPKCSFile" \
      -out ca-cert.ca -password pass:PASSWORD -passin pass:PASSWORD

Agora, a chave privada:

$ openssl pkcs12 -nocerts -in "YourPKCSFile" \
      -out private.key -password pass:PASSWORD -passin pass:PASSWORD \
      -passout pass:TemporaryPassword

Agora remova a senha:

$ openssl rsa -in private.key -out "NewKeyFile.key" \
      -passin pass:TemporaryPassword

Junte as coisas para o novo PKCS-File:

$ cat "NewKeyFile.key"  \
      "certificate.crt" \
      "ca-cert.ca" > PEM.pem

E crie o novo arquivo:

$ openssl pkcs12 -export -nodes -CAfile ca-cert.ca \
      -in PEM.pem -out "NewPKCSWithoutPassphraseFile"

Agora você tem um novo arquivo de chave PKCS12 sem senha na parte da chave privada.

A solução mais simples que encontrei é

Exportar para arquivo pem temporário

openssl pkcs12 -in protected.p12 -nodes -out temp.pem
#  -> Enter password

Converter pem de volta para p12

openssl pkcs12 -export -in temp.pem  -out unprotected.p12
# -> Just press [return] twice for no password

Remover certificado temporário

rm temp.pem

Isso pode ser feito facilmente em uma etapa sem arquivo temporário:

openssl pkcs12 -in "PKCSFile" -nodes | openssl pkcs12 -export -out "PKCSFile-Nopass"

Responda ao prompt Importar senha com a senha. Responda aos prompts Exportar senha com <CR>

Feito.

Observe que isso lida com qualquer número de certificados intermediários que possam estar no pacote...

Eu recomendo fortemente tomar cuidado com o arquivo resultante; seria uma boa ideia definir umask para 377 primeiro (não-unix: isso significa que apenas o proprietário pode ler o arquivo criado.) Suponho que sejam 2 etapas, se o umask padrão for permissivo ...

Agora, a chave privada:

openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -password pass:PASSWORD -passin pass:PASSWORD -passout pass:TemporaryPassword

Remova agora a senha:

openssl rsa -in private.key -out "NewKeyFile.key" -passin pass:TemporaryPassword

Os 2 passos podem ser substituídos por

openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -nodes

Nenhum destes funcionou para mim. No final, reverti para o código dotNet que funcionou pela primeira vez.

class Script
{
    static public void Main(string[] args)
    {
                if (args.Length < 3 || args.Contains("/?"))
                {
                    MainHelp(args);
                    return;
                }
       string _infile = args[0],
                        _outfile = args[2];
                string _password = args[1], _outpassword = (args.Length > 3) ? args[3] : "";
                Console.WriteLine(String.Format("{0} -> {1} with ({2} -> {3})", _infile, _outfile, _password, _outpassword));
                System.Security.Cryptography.X509Certificates.X509Certificate2 cert = null;
                Console.WriteLine(String.Format("Load {0} with {2}", _infile, _outfile, _password, _outpassword));
                cert = new System.Security.Cryptography.X509Certificates.X509Certificate2(_infile, _password, System.Security.Cryptography.X509Certificates.X509KeyStorageFlags.Exportable);
                Console.WriteLine(String.Format("Export {1} with {3}", _infile, _outfile, _password, _outpassword));
                System.IO.File.WriteAllBytes(_outfile, cert.Export(System.Security.Cryptography.X509Certificates.X509ContentType.Pfx, _outpassword));
                Console.WriteLine(String.Format("Export complete", _infile, _outfile, _password, _outpassword));
    }

     static public void MainHelp(string[] args)
    {
            Console.WriteLine("Usage pfxremovepwd [inpfx] [inpwd] [outpfx] [optional outpwd]");
            return;
    }
}

Aqui está uma solução pura do PowerShell que funciona sem OpenSSL:

Install-Module -Name 'Carbon.Cryptography'
$password = Read-Host -AsSecureString
$cert = Get-CCertificate -Path PATH -Password $password -KeyStorageFlags Exportable
[IO.File]::WriteAllBytes(OUT_PATH, $cert.Export('Pfx'))

Infelizmente, nenhuma das respostas postadas até agora está correta, pois elas apenas fornecem uma senha em branco em vez de nenhuma senha, o que significa que você ainda será solicitado a fornecer uma senha em primeiro lugar.

Para manter tudo junto em um só lugar, vou copiar o post do @slm com algumas pequenas alterações;

• SENHA é sua senha atual
• YourPKCSFile é o arquivo que você deseja converter
• NewPKCSWithoutPassphraseFile é o arquivo de destino para o PKCS12 sem senha

Primeiro, extraia o certificado:

$ openssl pkcs12 -clcerts -nokeys -in "YourPKCSFile" -out certificate.crt \
    -password pass:PASSWORD -passin pass:PASSWORD

Em segundo lugar, a chave CA:

$ openssl pkcs12 -cacerts -nokeys -in "YourPKCSFile" -out ca-cert.ca \
    -password pass:PASSWORD -passin pass:PASSWORD

Agora, a chave privada:

$ openssl pkcs12 -nocerts -in "YourPKCSFile" -out private.key -password \
    pass:PASSWORD -passin pass:PASSWORD -passout pass:TemporaryPassword

Agora remova a senha:

$ openssl rsa -in private.key -out "NewKeyFile.key" -passin pass:TemporaryPassword

Junte as coisas para o novo PKCS-File:

Bash:

$ cat "NewKeyFile.key" "certificate.crt" "ca-cert.ca" > PEM.pem

CMD:

$ type "NewKeyFile.key" "certificate.crt" "ca-cert.ca" > PEM.pem

E crie o novo arquivo:

$ openssl pkcs12 -export -nodes -CAfile ca-cert.ca -in PEM.pem
    -out "NewPKCSWithoutPassphraseFile.p12" -passout pass: