xfiles
Goto Top

Zertifikat-Kompatibilität (.crt .pfx)

Hallo zusammen face-smile

Grundsätzliche Frage:

Sind Zertifikate wie .crt und .pfx kompatibel zueinander?

Hintergrund:

Auf den Clients ist bereits ein Zertifikat installiert --> .crt
Nun kann unserer neues Tool (serverseitig) leider nicht mit .crt Zertifikaten arbeiten,
sondern verlangt .pfx.
Grundsätzlich ist es möglich .crt nach .pfx zu konvertieren!

Frage:

Funktioniert es, wenn ich das Zertifikat (.cer) nach .pfx konvertiere
und dieses auf dem Server (Tool) importiere, auf den Clients jedoch das
.crt unkonvertiert liegen lasse?

Oder gibt es dann einen Konflikt bei Schlüsselaustausch?


Beste Grüße

Marc

Content-ID: 280111

Url: https://administrator.de/contentid/280111

Ausgedruckt am: 14.11.2024 um 11:11 Uhr

122990
122990 13.08.2015 aktualisiert um 23:54:26 Uhr
Goto Top
Moin,
der Unterschied liegt hier meist darin das in einem *.pfx auch der private Schlüssel enthalten ist, wohingegen bei einem reinen *.cer nur der öffentliche Teil des Schlüssels enthalten ist.

Grundsätzlich ist es möglich .crt nach .pfx zu konvertieren!
Ja wenn du einen privaten Schlüssel des Zertifikats hast.

Konvertieren kannst du z.B: mit OpenSSL zwischen den Formaten (PEM/DER/PKCS12)

Aber auch aus der Zertifikats-MMC (certmgr.msc) lassen sich Zertifikate als *.pfx exportieren, solange der private Schlüssel auf dem Rechner vorhanden und als exportierbar markiert ist.

Gruß grexit
Dani
Dani 13.08.2015 um 21:53:35 Uhr
Goto Top
Guten Abend Marc,
tu uns und dir eingefallen und komm nicht auf die Idee die Zertifikate über den Converter hochzuladen. Nimm dir die 10 Minuten und installier unter Windows/Linux OpenSSL und führe die Befehle auf der CMD aus. Somit kommt kein privater Schlüssel o.ä. abhanden. Gerade .pfx Dateien sind gefährlich.


Gruß,
Dani
exellent
exellent 14.08.2015 um 10:41:11 Uhr
Goto Top
Nimm das Freeware Tool "xca". Damit geht es wunderbar und du musst es nicht via OpenSSL auf der CLI machen face-smile
xfiles
xfiles 27.08.2015 um 10:00:55 Uhr
Goto Top
Sorry für meine späte Rückmeldung und DANKE für Eure Antworten.
Das mit dem Konvertieren wäre nun geklärt.
Nun zu meiner eigentlichen Frage.

Ist es möglich auf der Client-Seite das .crt und auf der Server-Seite das daraus konvertierte .pfx Zertifikat liegen zu haben?

Gruß

Marc
122990
Lösung 122990 27.08.2015 aktualisiert um 10:55:41 Uhr
Goto Top
Zitat von @xfiles:
Ist es möglich auf der Client-Seite das .crt und auf der Server-Seite das daraus konvertierte .pfx Zertifikat liegen zu
haben?
Sicher, aus einem PFX-Container lässt sich der öffentliche Part (Zertifikat) und der geheim zu haltende private Key separat exportieren...
Wobei du das PFX auch auf einem Client importieren kannst (beim Import angeben das es nicht exportiert werden kann, dann verbleibt auch der private Key nicht auf dem Client)
xfiles
xfiles 27.08.2015 um 10:59:29 Uhr
Goto Top
Super. Danke für die Tipps.
Werde das gleich mal ausprobieren.
Problem ist, dass wir keine Gruppenrichtlinien nutzen können,
um die Zertifikate an die Clients zu verteilen und der Server einen
anderen Dienst/Tool nutzt, welcher nur .pfx unterstützt.
Also konvertiere ich das .crt nach .pfx und versuche dieses
dem neuen Server unterzujubeln.

Werde das später direkt mal testen!!

Vielen Dank.