Export des Zertifikats nach PFX für die Verwendung auf älteren Windows-Servern
Beim Importieren der PFX-Datei auf den Server kann es vorkommen, dass der Server Ihr gewähltes Passwort für die PFX-Datei nicht akzeptiert. Dieses Problem kann durch die Verschlüsselung des Passworts mit einem zu starken Algorithmus verursacht werden, den der Server nicht unterstützt. Wir haben jedoch eine Lösung.
Symptome des Problems
Beim Importieren eines im SSLmarket erstellten Zertifikats aus einer PFX-Datei mit eigenem Passwort stoßen Sie darauf, dass das Zielsystem das Passwort als ungültig ablehnt. Dies tritt auf, wenn ein Verschlüsselungsschema verwendet wurde, das von älteren Systemen nicht vollständig unterstützt wird.
Ursache des Problems
Das Kompatibilitätsproblem von PFX-Dateien auf älteren Windows Server Systemen wird durch die Verwendung modernerer Verschlüsselungsalgorithmen für die Verschlüsselung des Passworts beim Exportieren des Zertifikats nach PFX verursacht. Moderne Versionen von Werkzeugen und Bibliotheken für die Arbeit mit Zertifikaten, wie zum Beispiel OpenSSL, können standardmäßig AES-256 für die Verschlüsselung von PFX-Dateien verwenden. Ältere Windows Server Systeme unterstützen jedoch möglicherweise nicht die Entschlüsselung mit AES-256 und erwarten 3DES (Triple DES), das zum Zeitpunkt der Veröffentlichung dieser Systeme der Standard war.
Das Problem lässt sich einfach durch die Verwendung von 3DES in PFX lösen
Um die Kompatibilität von PFX-Dateien mit diesen älteren Systemen sicherzustellen, muss beim Exportieren des Zertifikats explizit die Verschlüsselung mittels 3DES gewählt werden. Dadurch wird sichergestellt, dass die Passwort-Verschlüsselung mit älteren Windows Server Systemen kompatibel ist (3DES wird anstelle von AES-256 verwendet).
Wenn Sie das Zertifikat aus PFX auf Linux oder einer neueren Version von Windows Server (2016 und neuer) installieren, können Sie ohne Sorge sein. 3DES verwenden Sie in diesem Fall nicht.
