P12 zertifikat auf aktuelle Linux-Server kann auf IIS nicht importiert werden (Angeblich falsches Kennwort)
Moin,
ich habe für einen Kunden mit Exchange ein neues Wildcard-Zertifikat von Setigo gekauft
Man bekommt die üblichen Datein (CRT, Key und CA-Bundle).
Diese wandele ich dann immer mit diesem Befehl um:
Bisher mache ich das immer mit einem älteren Ubuntu-Server.
Nun habe ich das mit einem ganz neuem Ubuntu-Server gemacht.
Die Konvertierung verlief normal, aber ich kann das Zertifikat auf einem Exchange 2019 (mit allen CUs und Updates) nicht importieren. Laut Meldung ist das Kennwort falsch. Weder im IIS noch in der Zertifikatsverwaltung.
Ich gehe davon aus, dass der neuere Ubuntu-Server neuere Standards verwendet die Windows oder/und der IIS nicht kann.
Kann mir Jemand den Openssl-Befehl nennen der diese explizit festlegt damit das mit Windows Server 2016/2019 funktioniert?
Danke
Stefan
ich habe für einen Kunden mit Exchange ein neues Wildcard-Zertifikat von Setigo gekauft
Man bekommt die üblichen Datein (CRT, Key und CA-Bundle).
Diese wandele ich dann immer mit diesem Befehl um:
openssl pkcs12 -export -out firma_de.pfx -inkey firma_de.key -in firma_de.crt -certfile firma_de.ca-bundle
Bisher mache ich das immer mit einem älteren Ubuntu-Server.
Nun habe ich das mit einem ganz neuem Ubuntu-Server gemacht.
Die Konvertierung verlief normal, aber ich kann das Zertifikat auf einem Exchange 2019 (mit allen CUs und Updates) nicht importieren. Laut Meldung ist das Kennwort falsch. Weder im IIS noch in der Zertifikatsverwaltung.
Ich gehe davon aus, dass der neuere Ubuntu-Server neuere Standards verwendet die Windows oder/und der IIS nicht kann.
Kann mir Jemand den Openssl-Befehl nennen der diese explizit festlegt damit das mit Windows Server 2016/2019 funktioniert?
Danke
Stefan
Please also mark the comments that contributed to the solution of the article
Content-ID: 4956500146
Url: https://administrator.de/contentid/4956500146
Printed on: October 11, 2024 at 15:10 o'clock
1 Comment
-legacy / -descert Switch hinzufügen.
Ein
Zeigt mit welchen Ciphers ein PFX Container verschlüsselt wurde.
Ausgabe eines Legacy Containers:
Ausgabe eines Containers mit Default Settings einer aktuellen OpenSSL Version:
You see the difference ?!
Ein aktueller Server 2022 akzeptiert mittlerweile auch den neuen Standard beim Standardimport.
Gruß S.
openssl pkcs12 -export -out firma_de.pfx -inkey firma_de.key -in firma_de.crt -certfile firma_de.ca-bundle -legacy -descert
man openssl pkcs12
-descert
Encrypt the certificates using triple DES. By default the private key and the certificates are encrypted using
AES-256-CBC unless the '-legacy' option is used. If '-descert' is used with the '-legacy' then both, the private key
and the certificates are encrypted using triple DES.
-descert
Encrypt the certificates using triple DES. By default the private key and the certificates are encrypted using
AES-256-CBC unless the '-legacy' option is used. If '-descert' is used with the '-legacy' then both, the private key
and the certificates are encrypted using triple DES.
Ein
openssl pkcs12 -info -in cert_container.pfx -noout
Ausgabe eines Legacy Containers:
AC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Certificate bag
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
AC: sha256, Iteration 2048
MAC length: 32, salt length: 8
PKCS7 Encrypted data: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Certificate bag
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, AES-256-CBC, Iteration 2048, PRF hmacWithSHA256
Ein aktueller Server 2022 akzeptiert mittlerweile auch den neuen Standard beim Standardimport.
Gruß S.