Export certifikátu do PFX pro použití na starších Windows serverech
Při importu PFX souboru na server se můžete setkat s tím, že server vámi zvolené heslo pro PFX nepřijímá. Tento problém může být způsoben šifrováním hesla příliš silným algoritmem, který server nepodporuje. Máme však řešení.
Příznaky problému
Při importu certifikátu z PFX vytvořeného v SSLmarketu s vlastním heslem se setkáváte s tím, že cílový systém heslo odmítá jako neplatné. K tomu dochází, pokud bylo pro šifrování hesla použito šifrovací schéma, které starší systémy plně nepodporují.
Příčina problému
Problém s kompatibilitou PFX souborů na starších systémech Windows Server je způsoben použitím modernějších šifrovacích algoritmů pro šifrování hesla při exportu certifikátu do PFX. Modernější verze nástrojů a knihoven pro práci s certifikáty, jako je například OpenSSL, mohou implicitně používat AES-256 pro šifrování PFX souborů. Starší systémy Windows Server však nemusí podporovat dešifrování pomocí AES-256 a očekávají 3DES (Triple DES), který byl standardem v době, kdy byly tyto systémy vydány.
Problém vyřešíte snadno použitím 3DES v PFX
Pro zajištění kompatibility souborů PFX s těmito staršími systémy je třeba při exportu certifikátu explicitně zvolit šifrování pomocí 3DES. Tím zajistíte, že šifrování hesla bude kompatibilní se staršími systémy Windows Server (bude použito 3DES místo AES-256).
Pokud budete certifikát z PFX instalovat na Linux či novější verzi Windows Server (2016 a novější), nepoužívejte 3DES, nebo vznikne opačný problém.
