{"id":1286,"date":"2026-01-06T18:36:00","date_gmt":"2026-01-06T16:36:00","guid":{"rendered":"https:\/\/www.mediamill.de\/blog\/?p=1286"},"modified":"2026-01-06T16:44:08","modified_gmt":"2026-01-06T14:44:08","slug":"pkcs12-p12-pfx-import-auf-windows-server-2016-fehlgeschlagen-the-password-you-entered-is-incorrect-das-eingegebene-kennwort-fuer-die-datei-ist-falsch","status":"publish","type":"post","link":"https:\/\/www.mediamill.de\/blog\/2026\/01\/06\/pkcs12-p12-pfx-import-auf-windows-server-2016-fehlgeschlagen-the-password-you-entered-is-incorrect-das-eingegebene-kennwort-fuer-die-datei-ist-falsch\/","title":{"rendered":"PKCS12\/P12\/PFX-Import auf Windows Server 2016 fehlgeschlagen: &#8222;The password you entered is incorrect&#8220;\/&#8220;Das eingegebene Kennwort ist falsch&#8220;"},"content":{"rendered":"\n<p>Ich stand k\u00fcrzlich vor einem Problem, das auf den ersten Blick keinen Sinn ergab. Ich erstelle meine SSL-Zertifikate unter Debian (inzwischen Version 13) und verpacke sie als <code>.pfx<\/code> (PKCS#12), um sie anschlie\u00dfend auf Windows Servern zu importieren.<\/p>\n\n\n\n<p>W\u00e4hrend der Import auf neueren Systemen problemlos funktionierte, scheiterte er auf Windows Server 2016 konsequent. Der Import-Assistent brach immer mit dem Fehler ab: <strong>&#8222;Das eingegebene Kennwort  ist falsch.&#8220;<\/strong> (bzw. auf Englisch: <strong>&#8222;The password you entered is incorrect.&#8220;<\/strong>)<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.mediamill.de\/blog\/wp-content\/image-41.png\"><img loading=\"lazy\" decoding=\"async\" width=\"534\" height=\"526\" src=\"https:\/\/www.mediamill.de\/blog\/wp-content\/image-41.png\" alt=\"\" class=\"wp-image-1287\" srcset=\"https:\/\/www.mediamill.de\/blog\/wp-content\/image-41.png 534w, https:\/\/www.mediamill.de\/blog\/wp-content\/image-41-300x296.png 300w\" sizes=\"auto, (max-width: 534px) 100vw, 534px\" \/><\/a><\/figure>\n\n\n\n<p>Ich habe das Passwort mehrfach \u00fcberpr\u00fcft und neu gesetzt \u2013 ohne Erfolg. Der Fehler war irref\u00fchrend, denn das Passwort war korrekt.<\/p>\n\n\n\n<p><strong>Die Ursache<\/strong> <br>Das Problem liegt an der Version von OpenSSL. Mit Debian 13 (und auch schon 12) kommt OpenSSL 3.0+ zum Einsatz. Diese Version nutzt standardm\u00e4\u00dfig moderne Verschl\u00fcsselungsalgorithmen f\u00fcr den PKCS#12-Container, die Windows Server 2016 im Import-Prozess noch nicht verarbeiten kann. Das System kann den Container nicht entschl\u00fcsseln und interpretiert dies f\u00e4lschlicherweise als falsches Passwort.<\/p>\n\n\n\n<p><strong>Die L\u00f6sung<\/strong> Damit Windows Server 2016 die Datei wieder lesen kann, muss man OpenSSL anweisen, die \u00e4lteren, kompatiblen Algorithmen zu verwenden. Daf\u00fcr gibt es die Option <code>-legacy<\/code>.<\/p>\n\n\n\n<p>Der angepasste Befehl sieht so aus:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>openssl pkcs12 -export \\\n    -out zertifikat.pfx \\\n    -inkey private.key \\\n    -in public.crt \\\n    -certfile chain.crt \\\n    -legacy<\/code><\/pre>\n\n\n\n<p>Durch den Switch <code>-legacy<\/code> wird der Container wieder so verschl\u00fcsselt, dass auch \u00e4ltere Systeme wie Server 2016 ihn problemlos akzeptieren. Sicherheitstechnisch betrifft das nur die &#8222;Verpackung&#8220; der Datei, die eigentlichen Zertifikats-Schl\u00fcssel bleiben unver\u00e4ndert stark.<\/p>\n\n\n\n<p>Mir diesem Parameter funktioniert der Import auf allen Windows-Versionen wieder problemlos.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ich stand k\u00fcrzlich vor einem Problem, das auf den ersten Blick keinen Sinn ergab. Ich erstelle meine SSL-Zertifikate unter Debian (inzwischen Version 13) und verpacke sie als .pfx (PKCS#12), um sie anschlie\u00dfend auf Windows Servern zu importieren. W\u00e4hrend der Import auf neueren Systemen problemlos funktionierte, scheiterte er auf Windows Server 2016 konsequent. Der Import-Assistent brach [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,19,79,121],"tags":[159,160],"class_list":["post-1286","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-windows","category-windows-server-2016","category-zertifikate","tag-openssl","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/posts\/1286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/comments?post=1286"}],"version-history":[{"count":2,"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/posts\/1286\/revisions"}],"predecessor-version":[{"id":1289,"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/posts\/1286\/revisions\/1289"}],"wp:attachment":[{"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/media?parent=1286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/categories?post=1286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mediamill.de\/blog\/wp-json\/wp\/v2\/tags?post=1286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}