Извлечь закрытый ключ из файла pfx или хранилища сертификатов БЕЗ использования OpenSSL в Windows

У меня была такая же проблема, и я решил ее с помощью модуля PSPKI Powershell из PS Галерея. Хотя я понимаю, что вы ищете решение, которое предпочтительно использует некоторые встроенные функции Windows, установка модуля из PS Gallery может быть приемлемой. По крайней мере, так было в моем случае.

Сначала установите модуль PSPKI (я предполагаю, что репозиторий PSGallery уже настроен):

Install-Module -Name PSPKI

Модуль PSPKI предоставляет командлет Convert-PfxToPem, который преобразует pfx-файл в pem-файл, который содержит сертификат и ключ pirvate в виде текста в кодировке base64:

Convert-PfxToPem -InputFile C:\path\to\pfx\file.pfx -Outputfile C:\path\to\pem\file.pem

Теперь все, что нам нужно сделать, это разделить pem-файл с помощью некоторой магии регулярных выражений. Например, вот так:

(Get-Content C:\path\to\pem\file.pem -Raw) -match "(?ms)(\s*((?<privatekey>-----BEGIN PRIVATE KEY-----.*?-
----END PRIVATE KEY-----)|(?<certificate>-----BEGIN CERTIFICATE-----.*?-----END CERTIFICATE-----))\s*){2}"

$Matches["privatekey"] | Set-Content "C:\path\to\key\file.pem"
$Matches["certificate"] | Set-Content "C:\path\to\certificate\file.pem"

Если я правильно понимаю, certutil должен сделать это за вас.

certutil -exportPFX -p "ThePasswordToKeyonPFXFile" my [serialNumberOfCert] [fileNameOfPFx]

Ключ, когда его можно экспортировать, можно экспортировать с помощью нескольких API в несколько форматов. Наиболее распространенными будут PKCS # 8 (отраслевой стандарт) и XML (собственно MSFT afaik).

Взгляните на эти ответы:

• Экспорт CngKey в PKCS8 с шифрованием c #
• C # (.NET) RSACryptoServiceProvider import / экспорт большого двоичного объекта открытого ключа x509 и большого двоичного объекта закрытого ключа PKCS8
• Преобразование ключа RSA RSACryptoServiceProvider RSA в PKCS8
• Форматы импорта и экспорта RSACng и CngKeyBlobFormat

Попробуйте что-то вроде этого:

$mypwd = ConvertTo-SecureString -String "MyPassword" -Force -AsPlainText
$mypfx = Get-PfxData -FilePath C:\Users\oscar\Desktop\localhost.pfx -Password $mypwd
Export-PfxCertificate -PFXData $mypfx -FilePath C:\Users\oscar\Desktop\localhost.pfx -Password $NewPwd

Хм. Вы пробовали открыть хранилище сертификатов и таким образом получить закрытый ключ? Вполне уверен, что это будет работать только с сертификатами RSA / DSA.

$store = New-Object System.Security.Cryptography.X509Certificates.X509Store([System.Security.Cryptography.X509Certificates.StoreName]::My,"localmachine")
$store.Open("MaxAllowed")
$cert = $store.Certificates | ?{$_.subject -match "^CN=asdasd"}
$cert.PrivateKey.ToXmlString($false)
$store.Close()

На основании того, что упомянул PowerShellGuy.

Это сработает для вас?

# first get your cert, either via pure .NET, or through the PSDrive (Cert:\)

# this is just an example

# get cert from PSDrive
$cert = Get-ChildItem Cert:\LocalMachine\My | where Subject -eq 'CN=MySubject'

# get cert from .NET
$My     = [System.Security.Cryptography.X509Certificates.StoreName]::My
$Store  = [System.Security.Cryptography.X509Certificates.X509Store]::new($My,'localmachine')
$Store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::MaxAllowed)

$cert   = $Store.Certificates | where Subject -eq 'CN=MySubject'

# get private key
# PKCS8, way #1
$BytesPkcs8 = $cert.PrivateKey.ExportPkcs8PrivateKey()
[System.Convert]::ToBase64String($BytesPkcs8)

# PKCS8, way #2
$Pkcs = [System.Security.Cryptography.CngKeyBlobFormat]::Pkcs8PrivateBlob
$BytesPkcs8 = $cert.PrivateKey.Key.Export($Pkcs)
[System.Convert]::ToBase64String($BytesPkcs8)

# RSA
$BytesRsa = $cert.PrivateKey.ExportRSAPrivateKey()
[System.Convert]::ToBase64String($BytesRsa)

Так эта строка Base64 то, что вы ищете?

Попробуйте этот скрипт, который экспортирует закрытый ключ в формате Pkcs8.

Azure PowerShell - извлечение PEM из SSL-сертификата