[OpenSSL] PKCS#12 (PFX) 파일 만들기 명령어

PKCS#12 는 Personal Information Exchange Syntax 로서 RFC7292 에 정의 된 표준 포맷이다.

P12 확장자 또는 pfx 확장자 파일 처리에 대한 OpenSSL 명령어 사용법이다.
이 명령어에 대한 Man 파일 링크는 아래와 같다

https://www.openssl.org/docs/man3.0/man1/openssl-pkcs12.html

PKCS#12 파일 생성

openssl pkcs12 -export -in ecdsa_cert.pem -inkey ecdsa_private_key.pem -out file.p12 -name "My Certfiicate" -passout pass:asdf

윈도우 경우에는 -passout pass:암호 값을 주입을 이렇게 주어야 하지만
윈도우가 아닌 다른 환경에서는 -passout 옵션을 안주어도 된다.
그 때는 화면에 입력하는 메세지가 뜨는데 그 때 입력해 주면 된다.

이 P12 포맷에 대한 ASN.1 다음과 같다.

 -- ============================
 -- The PFX PDU
 -- ============================

 PFX ::= SEQUENCE {
     version    INTEGER {v3(3)}(v3,...),
     authSafe   ContentInfo,
     macData    MacData OPTIONAL
 }

 MacData ::= SEQUENCE {
     mac        DigestInfo,
     macSalt    OCTET STRING,
     iterations INTEGER DEFAULT 1
     -- Note: The default is for historical reasons and its use is
     -- deprecated.
 }

생성한 file.p12 파일을 BerEditor 로 Decodeing 한 화면이다.

추가 인증서 포함 생성

openssl pkcs12 -export -in ecdsa_cert.pem -inkey ecdsa_private_key.pem -out file.p12 -name "My Certfiicate" -passout pass:asdf -certfile more_cert.pem

-certfile : 추가할 인증서 파일 경로

P12 내 인증서를 파일로 저장 (-clcerts -nokeys)

openssl pkcs12 -in file.p12 -clcerts -nokeys -out file.crt

P12 내 개인키를 파일로 저장

openssl pkcs12 -in file.p12 -nocerts -out file.key

P12 내 개인키에 pass phrase 를 적용하지 않고 파일로 저장

openssl pkcs12 -in file.p12 -out file.pem -nodes

P12 정보 출력

openssl pkcs12 -info -in file.p12

이때 패스워드 입력을 두번 받게 되는 데 첫번째는 P12 파일에 대한 패스워드이구 두번째는 개인키 암호 패스워드이다.
현재 윈도우 환경은 패스워드 입력과 관련해서는 처리가 잘 안되는거 같다.

일반적으로 인증서와 개인키를 같이 묶어서 사용 할 때 p12 또는 pfx 라는 확장자를 사용하는
PKCS#12 표준에 따라 만들어지 파일을 사용 한다구 보면 된다.