Export des Zertifikats in PFX für die Verwendung auf älteren Windows-Servern
Beim Import der PFX-Datei auf den Server kann es vorkommen, dass der Server Ihr gewähltes Passwort für die PFX nicht akzeptiert. Dieses Problem kann durch eine zu starke Verschlüsselung des Passworts verursacht werden, die vom Server nicht unterstützt wird. Wir haben jedoch eine Lösung.
Problembeschreibung
Beim Import eines in SSLmarket erstellten PFX-Zertifikats mit eigenem Passwort stoßen Sie darauf, dass das Zielsystem das Passwort als ungültig ablehnt. Dies tritt auf, wenn für die Verschlüsselung des Passworts ein Verschlüsselungsschema verwendet wurde, das ältere Systeme nicht vollständig unterstützen.
Ursache des Problems
Das Kompatibilitätsproblem von PFX-Dateien auf älteren Windows Server-Systemen wird durch die Verwendung modernerer Verschlüsselungsalgorithmen zur Verschlüsselung des Passworts beim Export des Zertifikats in PFX verursacht. Moderne Versionen von Werkzeugen und Bibliotheken für den Umgang mit Zertifikaten, wie z.B. OpenSSL, können standardmäßig AES-256 zur Verschlüsselung von PFX-Dateien verwenden. Ältere Windows Server-Systeme unterstützen jedoch möglicherweise nicht die Entschlüsselung mit AES-256 und erwarten 3DES (Triple DES), das zum Zeitpunkt der Veröffentlichung dieser Systeme der Standard war.
Problemlösung durch die Verwendung von 3DES in PFX
Um die Kompatibilität von PFX-Dateien mit diesen älteren Systemen sicherzustellen, sollte beim Export des Zertifikats explizit die Verschlüsselung mit 3DES gewählt werden. Auf diese Weise wird sichergestellt, dass die Passwortverschlüsselung mit älteren Windows Server-Systemen kompatibel ist (es wird 3DES anstelle von AES-256 verwendet).
Wenn Sie das Zertifikat aus PFX auf Linux oder einer neueren Version von Windows Server (2016 und neuer) installieren, können Sie ohne Sorge sein. 3DES verwenden Sie in diesem Fall nicht.
