我明白你现在的困境：从PKCS12里提取私钥时，原生Java API只能导出明文，而用BouncyCastle生成的加密私钥和原文件格式/内容对不上。咱们一步步解决这个问题。

一、为什么原生Java导出的是明文？ #

原生的PKCS8EncodedKeySpec只是获取私钥的原始二进制编码，本身不带加密逻辑，所以你得到的是明文的PKCS#8私钥——即使手动添加PEM头尾标签，也只是明文格式的包装，没有加密效果。原生Java并没有直接提供加密导出私钥的API，所以选择BouncyCastle是正确的方向。

二、BouncyCastle代码的问题排查与修正 #

你提供的BC代码里有一个明显的笔误：encryptorBuilder.setPasssword(...) 应该是 setPassword(...)（多了一个s），这个错误会导致密码没有正确设置，大概率是导出内容异常的原因之一。

另外，原PKCS12中的私钥通常是PKCS#1格式的RSA私钥（对应PEM标签BEGIN RSA PRIVATE KEY），而你用JcaPKCS8Generator生成的是PKCS#8格式的加密私钥（对应BEGIN ENCRYPTED PRIVATE KEY），这两种格式本身就不一样，所以内容不一致是正常的。如果你需要和原文件一致的PKCS#1加密格式，得换一种生成方式。

1. 导出PKCS#8加密私钥（推荐，标准通用格式） #

修正笔误后的完整代码，同时确保注册BouncyCastle Provider：

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.openssl.jcajce.JcaPEMWriter;
import org.bouncycastle.openssl.jcajce.JceOpenSSLPKCS8EncryptorBuilder;
import org.bouncycastle.operator.OutputEncryptor;
import org.bouncycastle.pkcs.PKCS8Generator;
import org.bouncycastle.pkcs.jcajce.JcaPKCS8Generator;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.StringWriter;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.Security;
import java.security.cert.Certificate;
import java.security.SecureRandom;

public class PKCS12Extractor {
    public static void main(String[] args) throws Exception {
        // 注册BouncyCastle加密提供者
        Security.addProvider(new BouncyCastleProvider());

        // 加载PKCS12密钥库
        KeyStore keyStore = KeyStore.getInstance("PKCS12");
        keyStore.load(new FileInputStream("your-keystore.p12"), "keystore-password".toCharArray());
        String keyAlias = "your-key-alias";
        char[] privateKeyPassword = "private-key-password".toCharArray(); // 通常和密钥库密码一致

        // 提取私钥与证书
        PrivateKey key = (PrivateKey) keyStore.getKey(keyAlias, privateKeyPassword);
        Certificate cert = keyStore.getCertificate(keyAlias);

        // 配置加密器：选用更安全的SHA256+AES256算法
        JceOpenSSLPKCS8EncryptorBuilder encryptorBuilder = new JceOpenSSLPKCS8EncryptorBuilder(PKCS8Generator.PBE_SHA256_AES_256);
        encryptorBuilder.setRandom(new SecureRandom());
        encryptorBuilder.setPassword("your-encrypt-password".toCharArray()); // 设置加密私钥的密码
        OutputEncryptor encryptor = encryptorBuilder.build();

        // 生成PKCS#8加密私钥
        JcaPKCS8Generator pkcs8Generator = new JcaPKCS8Generator(key, encryptor);
        // 可选：添加私钥关联的主题信息（和证书保持一致）
        pkcs8Generator.addAttribute(PKCS8Generator.PKCS9_ATTRIBUTE_SUBJECT_ALT_NAME, cert.getSubjectDN());

        // 转换为PEM格式
        StringWriter sw = new StringWriter();
        try (JcaPEMWriter pemWriter = new JcaPEMWriter(sw)) {
            pemWriter.writeObject(pkcs8Generator.generate());
        }
        String encryptedPrivateKeyPem = sw.toString();

        // 写入文件
        try (FileOutputStream fos = new FileOutputStream("encrypted-private-key.pem")) {
            fos.write(encryptedPrivateKeyPem.getBytes());
        }
    }
}

2. 导出PKCS#1加密私钥（和原PKCS12私钥格式一致） #

如果你需要生成和原文件一样的BEGIN RSA PRIVATE KEY加密格式，需要用JcePKCSPBEOutputEncryptorBuilder来处理：

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.openssl.PEMEncryptedKeyPair;
import org.bouncycastle.openssl.PEMKeyPair;
import org.bouncycastle.openssl.jcajce.JcaPEMWriter;
import org.bouncycastle.openssl.jcajce.JcePKCSPBEOutputEncryptorBuilder;
import org.bouncycastle.operator.OutputEncryptor;
import org.bouncycastle.util.io.pem.PemObject;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.StringWriter;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.Security;
import java.security.SecureRandom;
import java.security.interfaces.RSAPrivateKey;

public class PKCS1Extractor {
    public static void main(String[] args) throws Exception {
        Security.addProvider(new BouncyCastleProvider());

        KeyStore keyStore = KeyStore.getInstance("PKCS12");
        keyStore.load(new FileInputStream("your-keystore.p12"), "keystore-password".toCharArray());
        String keyAlias = "your-key-alias";
        char[] privateKeyPassword = "private-key-password".toCharArray();

        // 强制转换为RSA私钥（因为PKCS#1只针对RSA）
        RSAPrivateKey rsaKey = (RSAPrivateKey) keyStore.getKey(keyAlias, privateKeyPassword);

        // 配置PKCS#1加密器：选用经典的PBE-SHA1-3DES算法
        JcePKCSPBEOutputEncryptorBuilder encryptorBuilder = new JcePKCSPBEOutputEncryptorBuilder(org.bouncycastle.crypto.PBEParametersGenerator.PKCS5S2);
        encryptorBuilder.setAlgorithm("PBEWithSHA1And3DES");
        encryptorBuilder.setRandom(new SecureRandom());
        encryptorBuilder.setPassword("your-encrypt-password".toCharArray());
        OutputEncryptor encryptor = encryptorBuilder.build();

        // 生成PKCS#1加密私钥的PEM格式
        PEMKeyPair pemKeyPair = new PEMKeyPair(PemObject.RSA_PRIVATE_KEY, rsaKey.getEncoded());
        PEMEncryptedKeyPair encryptedKeyPair = new PEMEncryptedKeyPair(pemKeyPair.getType(), encryptor.encrypt(pemKeyPair.getContent()));

        StringWriter sw = new StringWriter();
        try (JcaPEMWriter pemWriter = new JcaPEMWriter(sw)) {
            pemWriter.writeObject(encryptedKeyPair);
        }
        String encryptedRsaPrivateKeyPem = sw.toString();

        try (FileOutputStream fos = new FileOutputStream("encrypted-rsa-private-key.pem")) {
            fos.write(encryptedRsaPrivateKeyPem.getBytes());
        }
    }
}

三、关键说明 #

• 算法选择：优先选择PBE_SHA256_AES_256这类更安全的算法，避免使用PBE_SHA1_RC2_128这类老旧、安全性较低的算法。
• 格式差异：PKCS#8是通用私钥格式，支持所有密钥类型；PKCS#1仅针对RSA，所以推荐优先使用PKCS#8格式。
• 密码设置：加密私钥的密码可以和原PKCS12的密码一致，也可以设置新密码，按需调整即可。

内容的提问来源于stack exchange，提问作者Starter