openssl pkcs12命令
##################

用途::

  pkcs12文件工具,能生成和分析pkcs12文件.PKCS#12文件可以被用于多个项目,例如:
  包含Netscape, MSIE 和 MS Outlook



openssl pkcs12命令::

  Usage: pkcs12 [options]
  where options are
  -export       指定输出的pkcs12文件
  -chain        add certificate chain
  -inkey file   指定私钥文件的位置。如果没有被指定，私钥必须在-in filename中指定
  -certfile f   添加filename中所有的证书信息值
  -CApath arg   - PEM format directory of CA's
  -CAfile arg   - PEM format file of CA's
  -name "name"  指定证书以及私钥的友好名字。当用软件导入这个文件时，这个名字将被显示出来
  -caname "nm"  指定其它证书的友好名字。这个选项可以被用于多次
  -in  infile   指定私钥和证书读取的文件,必须为PEM格式
  -out outfile  output filename
  -noout        只verify不输出任何东西
  -nomacver     don't verify MAC.
  -nocerts      不输出任何证书.
  -clcerts      仅仅输出客户端证书，不输出CA证书.
  -cacerts      仅仅输出CA证书，不输出客户端证书.
  -nokeys       不输出任何private keys.
  -info         输出PKCS#12文件结构的附加信息值, 如用的算法信息以及迭代次数.
  -des          在输出之前用DES算法加密私钥值
  -des3         在输出之前用DES3算法加密私钥值 (default)
  -aes128, -aes192, -aes256
                在输出之前用cbc aes算法加密私钥值
  -camellia128, -camellia192, -camellia256
                在输出之前用cbc camellia算法加密私钥值
  -nodes        一直对私钥不加密
  -noiter       don't use encryption iteration
  -nomaciter    读取文件时不验证MAC值的完整性(don't use MAC iteration)
  -maciter      use MAC iteration
  -nomac        don't generate MAC
  -twopass      需要用户分别指定MAC口令和加密口令(separate MAC, encryption passwords)
  -descert      encrypt PKCS#12 certificates with triple DES (default RC2-40)
  -certpbe alg  specify certificate PBE algorithm (default RC2-40)
  -keypbe alg   specify private key PBE algorithm (default 3DES)
  -macalg alg   digest algorithm used in MAC (default SHA1)
  -keyex        set MS key exchange type
  -keysig       set MS key signature type
  -password p   指定导入导出口令来源
  -passin p     输入文件保护口令来源(input file pass phrase source)
  -passout p    指定所有输出私钥保护口令来源(output file pass phrase source)
  -engine e     use engine e, possibly a hardware device.
  -CSP name     Microsoft CSP name
  -LMK          Add local machine keyset attribute to private key

实例
====


实例::

  // 分析一个PKCS#12文件,并输出到文件中：
  openssl pkcs12 -in file.p12 -out file.pem
  // 仅仅输出客户端证书到文件中：
  openssl pkcs12 -in file.p12 -clcerts -out file.pem
  // 不加密私钥文件：
  openssl pkcs12 -in file.p12 -out file.pem -nodes
  // 打印PKCS#12格式的信息值：
  openssl pkcs12 -in file.p12 -info -noout
  // 生成pkcs12文件，但不包含CA证书：
  openssl pkcs12 -export -inkey ocspserverkey.pem -in ocspservercert.pem  -out ocspserverpkcs12.pfx
  // 生成pcs12文件，包含CA证书：
  openssl pkcs12 -export -inkey ocspserverkey.pem -in ocspservercert.pem -CAfile demoCA/cacert.pem -chain -out ocsp1.pfx

  // 将pcks12中的信息分离出来，写入文件：
  openssl pkcs12 –in ocsp1.pfx -out certandkey.pem
  // 显示pkcs12信息：
  openssl pkcs12 –in ocsp1.pfx -info


提取 CA 证书，客户端证书和私钥::

    openssl pkcs12 -in vpnclient.p12 -cacerts -nokeys -out ca.cer
    openssl pkcs12 -in vpnclient.p12 -clcerts -nokeys -out client.cer
    openssl pkcs12 -in vpnclient.p12 -nocerts -nodes  -out client.key