Export eines Zertifikats in PFX zur Verwendung auf älteren Windows-Servern
Beim Import einer PFX-Datei auf den Server kann es vorkommen, dass der Server das von Ihnen gewählte Passwort für die PFX-Datei nicht akzeptiert. Dieses Problem kann durch eine zu starke Verschlüsselung des Passworts verursacht werden, die der Server nicht unterstützt. Wir haben jedoch eine Lösung.
Problembeschreibung
Beim Import eines Zertifikats aus einer in SSLmarket erstellten PFX-Datei mit eigenem Passwort stoßen Sie darauf, dass das Zielsystem das Passwort als ungültig ablehnt. Dies tritt auf, wenn ein Verschlüsselungsschema verwendet wurde, das von älteren Systemen nicht vollständig unterstützt wird.
Ursache des Problems
Das Kompatibilitätsproblem von PFX-Dateien auf älteren Windows-Server-Systemen wird durch die Verwendung modernerer Verschlüsselungsalgorithmen zur Verschlüsselung des Passworts beim Exportieren des Zertifikats in PFX verursacht. Moderne Versionen von Tools und Bibliotheken zur Arbeit mit Zertifikaten, wie z.B. OpenSSL, verwenden möglicherweise standardmäßig AES-256 zur Verschlüsselung von PFX-Dateien. Ältere Windows Server-Systeme unterstützen jedoch möglicherweise nicht die Entschlüsselung mit AES-256 und erwarten 3DES (Triple DES), das der Standard war, als diese Systeme veröffentlicht wurden.
Das Problem einfach durch die Verwendung von 3DES in PFX lösen
Um die Kompatibilität von PFX-Dateien mit diesen älteren Systemen sicherzustellen, sollte beim Export des Zertifikats explizit die Verschlüsselung mit 3DES gewählt werden. Damit wird sichergestellt, dass die Passwortverschlüsselung mit älteren Windows-Server-Systemen kompatibel ist (es wird 3DES anstelle von AES-256 verwendet).
Wenn Sie das Zertifikat aus PFX auf Linux oder einer neueren Version von Windows Server (2016 und neuer) installieren, können Sie ohne Sorge sein. 3DES verwenden Sie in diesem Fall nicht.
