Oggi è venerdì e sono un sysadmin disperato. Ho emesso una richiesta di certificato per un server HTTPS e l'ho appena ricevuta dopo più di una lunga settimana di attesa, ma mentre la mia richiesta è stata elaborata ho perso la passphrase che ha protetto la mia chiave privata.
Dato che ho la chiave privata e la chiave pubblica generati congiuntamente con la passphrase (che conoscevo prima), potrebbe esserci un modo intelligente per recuperare la passphrase perduta.
Grazie in anticipo.
Sei sfortunato. Una chiave privata cifrata protetta da passphrase significa che devi indovinarla e con l'alta entropia di una frase segreta tipica sarà molto difficile. Ammesso che tu abbia una vaga idea di cosa sia la passphrase, puoi scrivere uno script per provare a forzarlo bruto (ad esempio, era qualcosa come "horse batteria corretta _ _" e soggetto a un dizionario attacco).
Questo è l'intero motivo per cui inserisci la passphrase sulla chiave privata. (Certo di solito rimuovo la passphrase dalle mie chiavi private SSL sul mio server per riavviare convenientemente apache / nginx, anche se lascia che siano leggibili solo da root, se qualcuno è riuscito a eseguire il root può installare un keylogger e comunque catturare la mia passphrase).
EDIT: dovrei aggiungere in linea di principio che potresti ottenere la tua chiave privata se interrompi RSA (risolvi il problema del factoring del modulo N il prodotto di due numeri primi a 1024 bit che è nella chiave pubblica non crittografata; rigenerare rapidamente la chiave privata) o il meccanismo di crittografia della passphrase (in genere DES3) per recuperare la chiave privata. Tuttavia, se potessi fare l'uno o l'altro, potrebbe anche qualcun altro, il che non sarebbe una buona situazione. Inoltre, a meno che tu non abbia compiuto scoperte fondamentali nella teoria dei numeri, nell'informatica o nello sviluppo di un computer quantistico, è proibitivo il ricorso alla rottura della forza bruta RSA (come un milioni di computer per un milione di anni avrebbero una probabilità dello 0.02% di rompere una chiave RSA a 2048 bit).
( Semplicemente rimappando la risposta che ho dato a la domanda incrociata su SO , poiché è ora chiuso. )
Non proprio. Il punto di queste protezioni è proprio quello di rendere impossibile il recupero della password.
Se la password non fosse troppo lunga, potresti provare la forza bruta ...
L'opzione migliore è probabilmente contattare la CA e chiedere loro di riemettere un certificato con un nuovo CSR. Alcuni potrebbero consentire il re-keying senza costi aggiuntivi durante il periodo di validità del certificato.
Nel caso in cui, è possibile verificare se la chiave privata che hai generato è stata crittografata. Dipende da dove è memorizzato. Se si trova in un file PEM che inizia con -----BEGIN RSA PRIVATE KEY----- e contiene la parola ENCRYPTED dopo, è un brutto segno ...
Leggi altre domande sui tag openssl