<html><head><title>Re: [openssl-users] pkcs12 is no encryption possible for certs?</title>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-15">
</head>
<body>
<br><br>
<br>
<span style=" font-family:'courier new'; font-size: 9pt; color: #800000;"><b>MS> On Fri, Feb 13, 2015 at 11:33 AM, Sean Leonard <</b></span><a style=" font-family:'courier new'; font-size: 9pt;" href="mailto:dev+openssl@seantek.com">dev+openssl@seantek.com</a><span style=" font-family:'courier new'; font-size: 9pt; color: #800000;"><b>> wrote:<br>
>> Using the openssl pkcs12 -export command, is it possible to specify a<br>
>> "-certpbe" value that does not do encryption? Perhaps you only want<br>
>> integrity protection--you don't care whether the certificates are shrouded.<br>
>> The PKCS #12 standard seems to imply that "certBags" can be used as-is;<br>
>> however, all examples of PKCS #12 files that I have seen encrypt the<br>
>> certificates.<br>
<br>
>> Will other common crypto stacks be able to process such a PKCS #12 file<br>
>> (that does not encrypt the certificates)?<br>
<br>
MS> Whenever I hear someone talking about encrypting a certificate, I<br>
MS> conclude that they are horribly confused. A cert is signed, over the<br>
MS> entire contents, so integrity is reducible to the cryptographic<br>
MS> algorithms employed. A cert is not a secret, does not contain secrets,<br>
MS> etc.<br>
<br>
</b><span style=" color: #000000;">It's easy to make a mistake and...<br>
...type "cert" when you really mean "key."<br>
...not remember/understand/grok that PKCS12 files often contain both certs and keys. [And that both can be encrypted.]<br>
<br>
BTW, as long as we're talking about p12's and encryption. It's my experience that using a cipher other than 3DES [i.e. AES128/256] won't be handled well [i.e. not at all] by current versions of Windows or OSX. <br>
<br>
I know that's not the direction of the question, and only oblique to it, but perhaps it's useful.<br>
<br>
-Greg<br>
<br>
<br>
<br>
</body></html>