stefankittel
Goto Top

P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)

Moin,

ich habe für einen Kunden mit Exchange ein neues Wildcard-Zertifikat von Setigo gekauft
Man bekommt die üblichen Datein (CRT, Key und CA-Bundle).

Diese wandele ich dann immer mit diesem Befehl um:
openssl pkcs12 -export -out firma_de.pfx -inkey firma_de.key -in firma_de.crt -certfile firma_de.ca-bundle

Bisher mache ich das immer mit einem älteren Ubuntu-Server.
Nun habe ich das mit einem ganz neuem Ubuntu-Server gemacht.

Die Konvertierung verlief normal, aber ich kann das Zertifikat auf einem Exchange 2019 (mit allen CUs und Updates) nicht importieren. Laut Meldung ist das Kennwort falsch. Weder im IIS noch in der Zertifikatsverwaltung.

Ich gehe davon aus, dass der neuere Ubuntu-Server neuere Standards verwendet die Windows oder/und der IIS nicht kann.

Kann mir Jemand den Openssl-Befehl nennen der diese explizit festlegt damit das mit Windows Server 2016/2019 funktioniert?

Danke

Stefan

Content-ID: 4956500146

Url: https://administrator.de/contentid/4956500146

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

4863114660
Lösung 4863114660 14.12.2022 aktualisiert um 11:21:57 Uhr
Goto Top
-legacy / -descert Switch hinzufügen.

openssl pkcs12 -export -out firma_de.pfx -inkey firma_de.key -in firma_de.crt -certfile firma_de.ca-bundle -legacy -descert

man openssl pkcs12

-descert
Encrypt the certificates using triple DES. By default the private key and the certificates are encrypted using
AES-256-CBC unless the '-legacy' option is used. If '-descert' is used with the '-legacy' then both, the private key
and the certificates are encrypted using triple DES.

Ein
openssl pkcs12 -info -in cert_container.pfx -noout
Zeigt mit welchen Ciphers ein PFX Container verschlüsselt wurde.

Ausgabe eines Legacy Containers:
AC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Certificate bag
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Ausgabe eines Containers mit Default Settings einer aktuellen OpenSSL Version:
AC: sha256, Iteration 2048
MAC length: 32, salt length: 8
PKCS7 Encrypted data: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Certificate bag
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
You see the difference face-wink?!

Ein aktueller Server 2022 akzeptiert mittlerweile auch den neuen Standard beim Standardimport.

Gruß S.