Diese Anleitung ist veraltet!
Sectigo hat am 14.9.2024 diesen Teil ihres Prozesses geändert. Seitdem ist die Einstellung “Secure AES256-SHA256” für fast alle Systeme die korrekte Option. Diese Anleitung wird nur noch für Nutzer alter Zertifikate hier bereitgestellt.
Reparieren falsch gespeicherter Zertifikatsdateien
Die von Sectigo vorgegebene Einstellung beim Speichern der Zertifikatsdatei ist leider auf den gängigen Systemen (Windows und alles von Apple) nicht benutzbar:
Diese Einstellung funktioniert überall:
Diese Anleitung erklärt, wie man mit Bordmitteln oder dem (frei verfügbaren und oft schon installiertem) Firefox-Browser die Zertifikatsdatei in ein brauchbares Format umwandelt.
Symptome
Möglicherweise Sie sich nicht sicher, ob Sie von diesem konkreten Problem betroffen sind. Im Folgenden sind ein paar Diagnose-Möglichkeiten beschrieben.
Frage nach Smartcard
Beim Import einer falsch gespeicherten Zertifikatsdatei fragt Windows nach einer (nicht vorhandenen) Smartcard:
Danach kommt am Ende diese (nicht korrekten) Erfolgsmeldung:
In diesem Fall sind Sie betroffen.
Falscher Ordner im Zertifikatsspeicher
Das Zertifikate landet im Windows-Zertifikatsspeicher unter Andere Personen Zertifikate statt unter Eigene Zertifikate Zertifikate.
In diesem Fall sind Sie betroffen.
Privater Schlüssel nicht exportierbar
Um zu prüfen ob die importiere Zertifikatsdatei tatsächlich nicht korrekt gelesen wurde kann man versuchen diese
zu exportieren. öffnen Sie den Windows-Zertifikatsspeicher: drücken Sie die Tasten Win+R, geben Sie
certmgr.msc
ein und klicken Sie Ok. Wählen Sie das defekte Zertifikat aus, öffnen sie das Kontextmenü und
wählen Sie Alle AufgabenExportieren….
Wenn Sie auf der zweiten Seite des Zertifikatexport-Assistenten nicht die Möglichkeit haben den privaten Schlüssel zu exportieren, ist Ihre Zertifikatsdatei defekt:
Verschlüsselungstest schlägt fehl
Öffnen Sie eine Shell (Win+R und dann cmd
oder powershell
starten). Geben Sie certutil.exe -user -store My
ein. Jetzt werden sämtliche Zertifikate aufgelistet und für alle Zertifikate mit privatem Schlüssel wird ein
Verschlüsselungstest durchgeführt.
Finden Sie in der Ausgabe das relevante Zertifikat mittels Nicht vor:
und Antragsteller:
. Falls der Datensatz
mit Gespeicherter Schlüsselsatz fehlt
endet sind sie betroffen. Ein Verschlüsselungstest wurde durchgeführt
zeigt
an dass der private Schlüssel vorrhanden ist und benutzt werden kann.
Signieren und Entschlüsseln in Outlook schlägt fehlt
Outlook verweigert das Senden von signierten E-Mails mit dieser generischen Fehlermeldung:
Dies kann allerdings auch andere Gründe haben.
Nach Doppelklick auf die Zertifikatsdatei von Sectigo liefert macOS nach dreimaliger Eingabe des korrekten Passwords diese beiden Fehlermeldungen.
Der hier dokumentierte Weg mit Firefox funktioniert nicht vollständig auf macOS. Es ist möglich, die Zertifikatsdatei zu konvertieren. Der Import in den macOS-Schlüsselbund muss aber über eine Shell im Terminal durchgeführt werden. Dies ist am Ende dieser Anleitung beschrieben
Alternativ können Sie auch ein neues Zertifikat zu beantragen und beim Speichern das korrekte Format auswählen.
Stellen Sie sicher, dass die OpenSSL Version 31 und nicht die macOS-native Version2 benutzen.
Führen Sie diesen Befehl aus (ersetzen Sie smime_suspekt.p12
mit dem Pfad und Dateinamen ihrer Zertifikatsdatei):
Die Ausgabe einer falsch (Secure AES256-SHA256) gespeicherten Datei sieht etwa so aus:
MAC: sha256, Iteration 20000
MAC length: 32, salt length: 64
PKCS7 Encrypted data: PBES2, PBKDF2, AES-256-CBC, Iteration 20000, PRF hmacWithSHA256
Certificate bag
Certificate bag
Certificate bag
Certificate bag
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, AES-256-CBC, Iteration 20000, PRF hmacWithSHA256
Korrekt (Compatible TripleDES-SHA1) gespeichert kommt etwa so etwas raus:
Zertifikatsdatei reparieren
Defektes Zertifikat löschen
Falls die Zertifikatsdatei bereits installiert wurde: öffnen Sie den Windows-Zertifikatsspeicher. Drücken Sie die
Tasten Win+R, geben Sie certmgr.msc
ein und klicken Sie Ok:
Suchen Sie das defekte Zertifikat. Dies befindet sich normalerweise unter Andere PersonenZertifikate. Löschen Sie das Zertifikat über das Kontext-Menü (Rechtsklick):
Bitte alle defekten Zertifikate löschen
Stellen Sie bitte sicher, dass es keine weiteren solche Zertifikate in ihrem Windows-Zertifikatsspeicher gibt.
Firefox installieren
Installieren Sie – sofern nicht schon vorhanden – den Firefox-Browser3.
Zertifikatsdatei konvertieren
Starten Sie Firefox. Öffnen Sie das Menü () und wählen Sie Einstellungen:
Wählen Sie links den Abschnitt Datenschutz & Sicherheit. Suchen Sie im rechten Teil den Abschnitt Zertifikate und öffnen Sie die Firefox-Zertifikatsverwaltung mittels Zertifikate anzeigen…:
Wählen Sie den Reiter Ihre Zertifikate, dann Importieren:
Wählen Sie die Zertifikatsdatei, die Sie beim Beantragen von Sectigo (heißt smime_*.p12
, wenn Sie die nicht
umbenannt haben) heruntergeladen haben.
Geben Sie das Passwort ein, welches Sie beim Exportieren auf der Sectigo-Webseite verwendet haben:
Nur die Firefox-eigenen Zertifikate wählen
Firefox hat seit einiger Zeit eine direkte Anbindung an den Zertifikatsspeicher von Windows bzw. die Keychain von macOS. Das ist hier leider kontraproduktiv. Man erkennt solche “firefox-fremde” Zertifikate an der Spalte Kryptographie-Modul/Security Device. Einträge mit Software-Sicherheitsmodul/Software Security Device befinden sich nativ in Firefox. Einträge mit OS Client Cert Token kommen aus dem Betriebssystem. Stellen Sie sicher hier nur auf Einträgen der ersten Art zu arbeiten.
Wählen Sie das gerade importierte Zertifikat aus und wählen Sie Sichern…:
Setzen Sie ein sicheres Export-Passwort. Sie können das vorher verwendete Passwort benutzen:
Sichern Sie das konvertierte Zertifikat unter einem neuen Dateinamen.
Reparierte Datei im Betriebssystem importieren
Öffnen Sie das konvertierte Zertifikat durch Doppelklick auf die neue Datei. Durchlaufen Sie den Import-Assistenten.
Das reparierte Zertifikat sollte jetzt im Windows-Zertifikatsspeicher unter Eigene ZertifikateZertifikate auftauchen:
Öffnen Sie das Terminal.
Navigieren Sie in das Verzeichnis mit der konvertierten Zertifikatsdatei (potenziell einfach cd ~/Downloads/
).
Importieren Sie die konvertierte Zertifikatsdatei mit diesem Befehl (ersetzen Sie new.p12
durch den von ihnen beim
Speichern in Firefox gewählten Dateinamen):
Geben Sie das Passwort ein, welches Sie beim Speichern in Firefox gewählt haben.
Nachgang
Wenn Sie ihr repariertes Zertifikat erfolgreich genutzt haben, löschen Sie die defekte Datei oder markieren die diese
auffällig (beispielsweise mit einem Dateinamen, der mit SECTIGO_DEFEKT_
anfängt).