tschakalaka
Goto Top

Problem Mailzertifikat AES256 auf Server 2012R2 - Passwortfeld beim Installieren

Hallo zusammen,

ich habe ein Zertifikat über RapidSSL erstellt. Als Verschlüsselung wurde AES256 gewählt.

Ich habe aber jetzt das Problem, ist auch bekannt, unter Server 2012, dass es an der Passworteingabe scheitert.

Kann mir hier jemand helfen. Anscheinend finde ich nichts, was mir das Zertifikat in eine passende Verschlüsselung konvertiert. Lt. MS benötigt man TripleDES-SHA1. Die Verschlüsselung wird seit Ende 2023 ja nicht mehr empfohlen. Gibt es Alternativen was für den 2012er nutzbar ist?
Eine Info für ein Tool?

VG
Mark

Content-ID: 5505022726

Url: https://administrator.de/forum/problem-mailzertifikat-aes256-auf-server-2012r2-passwortfeld-beim-installieren-5505022726.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

NordicMike
NordicMike 08.05.2024 um 11:46:31 Uhr
Goto Top
Die Verschlüsselung wird seit Ende 2023 ja nicht mehr empfohlen
Der ganze Server 2012 wird schon seit zig Jahren nicht mehr empfohlen face-smile
Dann kannst du auch die Verschlüsselung einsetzen, macht es nicht besser oder schlechter face-smile
Tschakalaka
Tschakalaka 08.05.2024 um 11:53:21 Uhr
Goto Top
Zitat von @NordicMike:

Die Verschlüsselung wird seit Ende 2023 ja nicht mehr empfohlen
Der ganze Server 2012 wird schon seit zig Jahren nicht mehr empfohlen face-smile
Dann kannst du auch die Verschlüsselung einsetzen, macht es nicht besser oder schlechter face-smile

Gut,

dann kannst du mir jetzt bitte auch eine Lösung bieten
NordicMike
NordicMike 08.05.2024 aktualisiert um 11:58:06 Uhr
Goto Top
Klar, migrieren auf mindestens Server 2019 face-smile

leider nein, bin bin schon auf 356.
Tschakalaka
Tschakalaka 08.05.2024 aktualisiert um 12:09:38 Uhr
Goto Top
Lieber Mike,

es liegt so ziemlich alles (ca.300 PF) schon in 365 ;)

Mir ist die Sicherheit, die du ja ansprichst, bekannt und bewusst.

Es geht nur noch um 3 Mailkonten, die aus bestimmten Gründen noch nicht umgezogen wurden.

Ich benötigt hier keine Grundsatzaufklärung. Schade finde ich, wie gesagt Sicherheit geht natürlich vor, so überhebliche, selbstgerechte Antworten wie von dir.

Habe es aber jetzt per cmd gewandelt, pups

P.S. arrogant fehlte noch oben!
13034433319
Lösung 13034433319 08.05.2024 aktualisiert um 12:23:05 Uhr
Goto Top
Einfach mit openssl zu einem legacy Container zusammen bauen
# Zertifikat aus PFX extrahieren
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
# Private Key aus PFX extrahieren
openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes
# Zertifikat und Key wieder zu einem legacy *.pfx zusammenbauen
openssl pkcs12 -in cert.pem -inkey key.pem -export -legacy -out cert_legacy.pfx
Fertig.

H.
Tschakalaka
Tschakalaka 08.05.2024 um 15:19:43 Uhr
Goto Top
Zitat von @13034433319:

Einfach mit openssl zu einem legacy Container zusammen bauen
# Zertifikat aus PFX extrahieren
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
# Private Key aus PFX extrahieren
openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes
# Zertifikat und Key wieder zu einem legacy *.pfx zusammenbauen
openssl pkcs12 -in cert.pem -inkey key.pem -export -legacy -out cert_legacy.pfx
Fertig.

H.

Danke Dir, sehr gut.

Hatte ich genau so gemacht
13034433319
13034433319 08.05.2024 um 15:40:30 Uhr
Goto Top
Schön dann fehlt ja nur noch das gelöst am Thread.
Tschakalaka
Tschakalaka 09.05.2024 um 14:08:54 Uhr
Goto Top
Zitat von @NordicMike:

Die Verschlüsselung wird seit Ende 2023 ja nicht mehr empfohlen
Der ganze Server 2012 wird schon seit zig Jahren nicht mehr empfohlen face-smile
Dann kannst du auch die Verschlüsselung einsetzen, macht es nicht besser oder schlechter face-smile

Aber was noch zu erwähnen wäre. Mit der Verschlüsselung TripleDES-SHA1 kann auch für einen Server 2016 eine Umgehung genutzt werden. Der Server ist noch unter Support.
Das kommt vom Hersteller MS. Artikel vom 24.03.2024
NordicMike
NordicMike 10.05.2024 um 08:23:02 Uhr
Goto Top
P.S. arrogant fehlte noch oben!
Zur Info:

face-smile = grinsen, Scherz

grinsen, Scherz != Arroganz, passt irgendwie nicht zusammen.

Man kann schreiben, was man möchte, wenn einem die Lösung nicht passt, ist man alles Mögliche face-smile
Man verbohrt sich in eine Idee und kommt davon nicht ab, egal, welche Warnglocken aus irgendeinem Forum kommt.
Warum habe ich es geschrieben?
Nicht um dich zu ärgern...

Sondern um dir zu zeigen, dass es keinen Sinn macht, so viel Energie in einen modernen Schlüssel zu investieren, wenn der Tresor dazu schon mit Klebeband zusammen gehalten wird.

Evtl können wir dir ja auch bei den 3 Postfächern helfen, um eine alternative Lösung zu finden. Der Exchange arbeitet mit Domainrechten im Active Directory. Diese Türe ist also nicht nur weit offen, sondern da steht auch "herzlich willkommen" darüber.