Export certifikátu do PFX pre použitie na starších Windows serveroch
Pri importe PFX súboru na server sa môžete stretnúť s tým, že server vami zvolené heslo pre PFX neprijíma. Tento problém môže byť spôsobený šifrovaním hesla príliš silným algoritmom, ktorý server nepodporuje. Máme však riešenie.
Príznaky problému
Pri importe certifikátu z PFX vytvoreného v SSLmarkete s vlastným heslom sa stretávate s tým, že cieľový systém heslo odmieta ako neplatné. K tomu dochádza, ak bolo pre šifrovanie hesla použité šifrovacie schéma, ktoré staršie systémy plne nepodporujú.
Príčina problému
Problém s kompatibilitou PFX súborov na starších systémoch Windows Server je spôsobený použitím modernejších šifrovacích algoritmov pre šifrovanie hesla pri exporte certifikátu do PFX. Modernejšie verzie nástrojov a knižníc pre prácu s certifikátmi, ako je napríklad OpenSSL, môžu implicitne používať AES-256 pre šifrovanie PFX súborov. Staršie systémy Windows Server však nemusia podporovať dešifrovanie pomocou AES-256 a očakávajú 3DES (Triple DES), ktorý bol štandardom v čase, keď boli tieto systémy vydané.
Problém vyriešite jednoducho použitím 3DES v PFX
Pre zaistenie kompatibility súborov PFX s týmito staršími systémami je potrebné pri exporte certifikátu explicitne zvoliť šifrovanie pomocou 3DES. Tým zaistíte, že šifrovanie hesla bude kompatibilné so staršími systémami Windows Server (bude použité 3DES namiesto AES-256).
Ak budete certifikát z PFX inštalovať na Linux či novšiu verziu Windows Server (2016 a novšiu), nepoužívajte 3DES, inak vznikne opačný problém.
