你的问题核心在于SecureString无法直接转换为明文字符串传递给OpenSSL：

• 直接将SecureString赋值给环境变量，OpenSSL拿到的是加密后的对象，不是明文密码；
• 用[string]$pwd转换时，得到的是System.Security.SecureString这个类型名称，而非实际密码。

正确的解决方法 #

需要先将SecureString解密为明文字符串，再传递给OpenSSL，推荐两种安全的方式：

方法1：通过环境变量传递（相对安全）

$pfxFile = "toto.pfx"
$ext = (Get-Item $pfxFile).Extension
$pwd = Read-Host "Enter Import Password" -AsSecureString

# 将SecureString解密为明文
$plainTextPwd = [System.Net.NetworkCredential]::new("", $pwd).Password

# 设置专用环境变量（避免覆盖系统默认的pwd变量）
$env:OPENSSL_PFX_PWD = $plainTextPwd

# 执行OpenSSL命令，从环境变量读取密码
openssl pkcs12 -nokeys -nodes -in $pfxFile -out ($pfxFile -replace $ext, "-FULL.pem") -passin env:OPENSSL_PFX_PWD

# 清理环境变量，防止密码泄露
Remove-Item Env:OPENSSL_PFX_PWD
# 清理明文密码变量
Remove-Variable plainTextPwd, pwd

方法2：通过标准输入传递（更安全）

这种方式密码不会留在环境变量或命令历史中：

$pfxFile = "toto.pfx"
$ext = (Get-Item $pfxFile).Extension
$pwd = Read-Host "Enter Import Password" -AsSecureString

$plainTextPwd = [System.Net.NetworkCredential]::new("", $pwd).Password

# 通过管道将密码传入OpenSSL的标准输入
$plainTextPwd | openssl pkcs12 -nokeys -nodes -in $pfxFile -out ($pfxFile -replace $ext, "-FULL.pem") -passin stdin

# 清理敏感变量
Remove-Variable plainTextPwd, pwd

注意事项 #

• 不要使用-passin pass:$plainTextPwd的方式，这种写法会让密码直接暴露在命令行历史和进程列表中，存在安全风险；
• 处理完密码后务必清理相关变量和环境变量，避免敏感信息泄露；
• (Get-Item $pfxFile).Extension比ls $pfxFile | % Extension更高效且不易出错。

内容的提问来源于stack exchange，提问作者SebMa