Avendo scoperto quale algoritmo di crittografia è stato usato per crittografare il mio file pfx, usando openssl , ora voglio aggiornare il file pfx per usare gli algoritmi più sicuri disponibili, piuttosto che rc2 a 40 bit. Come posso fare questo?
Avendo scoperto quale algoritmo di crittografia è stato usato per crittografare il mio file pfx, usando openssl , ora voglio aggiornare il file pfx per usare gli algoritmi più sicuri disponibili, piuttosto che rc2 a 40 bit. Come posso fare questo?
Openssl può anche essere usato per aggiornare la crittografia, creando un nuovo file pfx con lo stesso certificato e la chiave privata, ma sembra richiedere un processo a più fasi
Prima leggi il file pfx ed esportalo come file pem:
openssl pkcs12 -in badcert.pfx -passin pass:SECRETPASSWORD -nodes -out temp.pem
In secondo luogo, leggi il file pem ed esportalo come file pfx con la crittografia aggiornata. Ho incluso l'opzione -macalg sha256 qui, anche se non riesco a dimostrare che stia facendo qualcosa:
openssl pkcs12 -export -in temp.pem -out goodcert.pfx -descert -passout pass:SECRETPASSWORD -macalg sha256
Verifica che il nuovo file pfx abbia una buona (o almeno migliore) crittografia:
openssl pkcs12 -info -in goodcert.pfx -noout -passin pass:SECRETPASSWORD
Elimina i vecchi file:
rm temp.pem
rm badcert.pfx
Si noti che sebbene openssl segnali la crittografia basata su password con SHA-1, in realtà è la variante PBKDF2 di SHA-1 iterata, per RFC7292 , quindi questo non è un punto debole.