MediaMill Blog

Kategorie: Zertifikate

  • PKCS12/P12/PFX-Import auf Windows Server 2016 fehlgeschlagen: „The password you entered is incorrect“/“Das eingegebene Kennwort ist falsch“

    Ich stand kürzlich vor einem Problem, das auf den ersten Blick keinen Sinn ergab. Ich erstelle meine SSL-Zertifikate unter Debian (inzwischen Version 13) und verpacke sie als .pfx (PKCS#12), um sie anschließend auf Windows Servern zu importieren.

    Während der Import auf neueren Systemen problemlos funktionierte, scheiterte er auf Windows Server 2016 konsequent. Der Import-Assistent brach immer mit dem Fehler ab: „Das eingegebene Kennwort ist falsch.“ (bzw. auf Englisch: „The password you entered is incorrect.“)

    Ich habe das Passwort mehrfach überprüft und neu gesetzt – ohne Erfolg. Der Fehler war irreführend, denn das Passwort war korrekt.

    Die Ursache
    Das Problem liegt an der Version von OpenSSL. Mit Debian 13 (und auch schon 12) kommt OpenSSL 3.0+ zum Einsatz. Diese Version nutzt standardmäßig moderne Verschlüsselungsalgorithmen für den PKCS#12-Container, die Windows Server 2016 im Import-Prozess noch nicht verarbeiten kann. Das System kann den Container nicht entschlüsseln und interpretiert dies fälschlicherweise als falsches Passwort.

    Die Lösung Damit Windows Server 2016 die Datei wieder lesen kann, muss man OpenSSL anweisen, die älteren, kompatiblen Algorithmen zu verwenden. Dafür gibt es die Option -legacy.

    Der angepasste Befehl sieht so aus:

    openssl pkcs12 -export \
    -out zertifikat.pfx \
    -inkey private.key \
    -in public.crt \
    -certfile chain.crt \
    -legacy

    Durch den Switch -legacy wird der Container wieder so verschlüsselt, dass auch ältere Systeme wie Server 2016 ihn problemlos akzeptieren. Sicherheitstechnisch betrifft das nur die „Verpackung“ der Datei, die eigentlichen Zertifikats-Schlüssel bleiben unverändert stark.

    Mir diesem Parameter funktioniert der Import auf allen Windows-Versionen wieder problemlos.

  • Schneller Zugriff auf den Zertifikatspeicher des lokalen Computers unter Windows

    Obwohl es mehrere Möglichkeiten gibt, auf den Zertifikatspeicher (Certificate Store) von Windows zuzugreifen, möchte ich in diesem Blogbeitrag eine schnelle und effiziente Methode vorstellen und die ich gerne mit euch teilen möchte.

    Die gängige Methode, um auf den Zertifikatspeicher des lokalen Computers zuzugreifen, besteht darin, die Microsoft Management Console (MMC) zu verwenden, das Zertifikat-Snap-In hinzuzufügen und dann den lokalen Computer als Ziel auszuwählen. Dieser Prozess kann jedoch zeitaufwändig sein, insbesondere wenn man regelmäßig auf den Zertifikatspeicher zugreifen muss.

    Glücklicherweise gibt es eine einfachere und schnellere Methode, um direkt auf den Zertifikatspeicher des lokalen Computers zuzugreifen. Anstatt die MMC zu öffnen und manuell das Zertifikat-Snap-In hinzuzufügen, kann man einfach den Befehl certlm.msc verwenden.

    Um den Zertifikatspeicher des lokalen Computers direkt aufzurufen, befolgen Sie die folgenden Schritte:

    1. Drücken Sie die Windows-Taste + R, um das „Ausführen“-Dialogfeld zu öffnen.
    2. Geben Sie certlm.msc ein und drücken Sie Enter.

    Der Zertifikatspeicher des lokalen Computers wird nun geöffnet, und Sie können die Zertifikate einsehen und verwalten.

    „Windows Certifiacte Store Local Machine“ mit dem Befehl certlm.msc direkt aufrufen.
    Windows Zertifikatspeicher lokaler Computer