Recupera password da file .pfx

Naviga le tue risposte
4

Ho una vecchia applicazione Windows SmartClient che viene pubblicata con un certificato firmato (un file .pfx). Vogliamo estendere la data di scadenza a più di un anno. Ho usato un programma chiamato RenewCert per farlo con altri certificati. Tuttavia, non conosciamo la password per questo certificato, che è richiesto da RenewCert. Ho provato a utilizzare un programma chiamato CertificatePasswordRecovery per recuperare la password, ma non è stato possibile trovare esso.

L'unica scelta ora sembra essere quella di generare un nuovo certificato, che richiederà una disinstallazione / reinstallazione dell'applicazione su tutte le macchine.

È corretto? oppure puoi pensare ad altre possibilità?

Modifica: maggiori informazioni:
Ho visto un'altra potenziale soluzione su Internet in cui si apre il file nel blocco note e si cerca il signtool.exe e la password seguirà l'opzione / p. Non ho avuto successo, ma non sono sicuro se mi sono accostato correttamente. Nel blocco note, vedo solo un mucchio di simboli cinesi. Poi ho provato a guardare il file pfx in Ultraedit, sia in modalità testo che hex, ma non ho visto nulla come "signtool.exe". Ho cercato un esadecimale di "segno" - 73 69 67 6e - ma non l'ho trovato.

    
posta Al Lelopath 01.04.2016 - 17:52
fonte

2 risposte

7

In primo luogo, ho un problema con la nomenclatura: articoli come quello che hai collegato a sortof suggeriscono che i termini "coppia di chiavi pubblica / privata" e "certificato" sono intercambiabili. In realtà, un certificato è solo la parte della chiave pubblica della coppia di chiavi e un file .pfx è un pacchetto che contiene sia il certificato (parte pubblica) sia la chiave privata crittografata [fonte] .

(Mantiene il mio ingranaggio quando la gente parla di una "password di protezione di un certificato" che non ha senso dal momento che un certificato è informazione pubblica! Si intende veramente "la password che protegge una chiave privata" .Perché il formato PFX incoraggia la gente pensa a tutto come un unico pacchetto, immagino che questo sia perdonabile.)

In base all'articolo che hai collegato, sembra che RenewCert stia utilizzando la chiave privata associata a quel certificato per generare un nuovo self -segnale certificato contenente la stessa chiave pubblica del vecchio certificato (e ottenendo una data di scadenza più lunga nel processo). I certificati autofirmati falliscono in HTTPS, ma le tue applicazioni SmartClient dovrebbero andare bene con esso. I certificati devono essere firmati dalla chiave privata di qualcuno, pertanto RenewCert utilizza la stessa coppia di chiavi che si sta certificando per eseguire la firma (da cui "certificato autofirmato").

L'altro modo per rinnovare un certificato consiste nell'inviare una richiesta di firma del certificato (csr) a un'autorità di certificazione (CA). Sfortunatamente, anche qui hai bisogno di accedere alla chiave privata in modo da poter dimostrare alla CA che possiedi questa chiave attraverso una prova di possesso [vedi RFC 4211 Sezione 4. e una dichiarazione IETF sui POP in CSR ].

Quindi la risposta alla tua domanda è: a meno che tu non riesca a trovare un modo per accedere a quella chiave privata (ricordando la password sul file .pfx o trovando la chiave privata in un backup da qualche parte ) l'unica opzione è generare una nuova coppia di chiavi, creare un certificato completamente nuovo e aggiornare tutte le applicazioni. Assolutamente no ... l'intero punto dei certificati è dimostrare di possedere la chiave privata corrispondente.

    
risposta data 01.04.2016 - 18:22
fonte
2

I file PFX sono l'implementazione di Windows dei certificati nel formato PKCS # 12. È possibile forzare le password come se si trattasse di forzare un file .ZIP. Di solito è più facile riscaricare semplicemente il certificato o ottenerne uno nuovo.

Raccomando di usare una password su un file PFX con un'entropia simile all'entropia della chiave privata nel file PFX. Di solito sono arrivato su grc.com e uso il servizio Perfect Passwords.

    
risposta data 22.06.2017 - 19:07
fonte

Leggi altre domande sui tag

Il modo più sicuro per aggirare la censura di Internet da parte dell'Iran Siti multipli e diversi sullo stesso server. Singoli certificati SSL per ogni certificato o SAN?