Vyřešeno. Jako nejlepší řešení vidím toto:
1. openssl pkcs12 -in nazev.p12 -out novykl.pem
2. openssl rsa -in novykl.pem -des -out cistykl.pem
Má to tu výhodu, že lze při tomto postupu to heslo i změnit. Jak prosté, jenom na to přijít.
Vásledek je pak čistý privátní klíč chráněný heslem:
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-CBC,3CB9598A6C83AF3B
Ckr0IcM...
-----END RSA PRIVATE KEY-----