Есть необходимость поднять туннель между OpenBSD/isakmpd и CentOS/OpenSWAN с использованием RSA ключей.
В OpenBSD используется openssl и ключи формата PEM, а в OpenSWAN - NSS и ключи в собственой БД.
Допустим сгенерировал на стороне OpenSWAN стандартно пару ключей через ipsec newhostkey, в NSS db появилась запись:
certutil -K -d dbm:/etc/ipsec.d
certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
< 0> rsa a23cc83abb43b202262bb708381ccd8188173fd9 (orphan)
Как теперь выгрузить его открытую часть в PEM? Согласно http://www.linuxsysadmintutorials.com/extract-pem-certificates-and-keys-from-a-shared-nss-db/
надо выгружать через pk12tool, НО в статье речь идет о выгрузке сертификатов а не голого RSA ключа. Для pk12tool нужно указывать флаг -n и передавать имя сертификата, но что делать если сертификата нет?
certutil -L -d dbm:/etc/ipsec.d
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
Спасибо.