Generar un certificado .p12 que solo contiene el certificado raíz

Navega tus respuestas
1

Sé que para crear un certificado raíz con openssl, primero debo crear una clave privada de raíz: 

openssl genrsa -out rootCA.key 2048

Luego, firme automáticamente el certificado: 

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.p12

Me pregunto, ¿cómo puedo generar un certificado raíz en formato .p12 sin una clave privada?

    
pregunta user134794 30.12.2016 - 15:10
fuente

2 respuestas

2
openssl pkcs12 -export -nokeys -in certificate.cer -out pkcs12.pfx
    
respondido por el mumbles 31.12.2016 - 04:15
fuente
1

Esta es la versión de una línea: 

openssl req -x509 -nodes -days 999 -subj '/CN=myRSAdemoserver' -newkey rsa:2048 -keyout server.pem -out server.pem

Tanto privkey como pubkey terminan en el archivo server.pem . Esto a veces se llama un "paquete PEM". (También: es específicamente el formato NO P12. Vea mi comentario en la pregunta original).

Y está habilitado para CA: (no debido a las opciones que utilicé, sino solo porque ese es el valor predeterminado en OpenSSL de vainilla. Gracias @ dave_thompson_085) 

$ openssl x509 -in server.pem -noout -text | grep -B1 '  CA:'
            X509v3 Basic Constraints:
                CA:TRUE
    
respondido por el StackzOfZtuff 31.12.2016 - 09:36
fuente

Lea otras preguntas en las etiquetas

Además de las contraseñas de texto sin formato, ¿hay algo de qué preocuparse con los sitios que no usan SSL? No puedo descubrir cómo omitir esta función para lfi