Reparieren falsch gespeicherter Zertifikatsdateien

Die von Sectigo vorgegebene Einstellung beim Speichern der Zertifikatsdatei ist leider auf den gängigen Systemen (Windows und alles von Apple) nicht benutzbar:

Diese Einstellung funktioniert überall:

Diese Anleitung erklärt, wie man mit Bordmitteln oder dem (frei verfügbaren und oft schon installiertem) Firefox-Browser die Zertifikatsdatei in ein brauchbares Format umwandelt.

Symptome

Möglicherweise Sie sich nicht sicher, ob Sie von diesem konkreten Problem betroffen sind. Im Folgenden sind ein paar Diagnose-Möglichkeiten beschrieben.

Windows macOS OpenSSL

Frage nach Smartcard

Beim Import einer falsch gespeicherten Zertifikatsdatei fragt Windows nach einer (nicht vorhandenen) Smartcard:

Danach kommt am Ende diese (nicht korrekten) Erfolgsmeldung:

In diesem Fall sind Sie betroffen.

Falscher Ordner im Zertifikatsspeicher

Das Zertifikate landet im Windows-Zertifikatsspeicher unter Andere Personen Zertifikate statt unter Eigene Zertifikate Zertifikate.

In diesem Fall sind Sie betroffen.

Privater Schlüssel nicht exportierbar

Um zu prüfen ob die importiere Zertifikatsdatei tatsächlich nicht korrekt gelesen wurde kann man versuchen diese zu exportieren. öffnen Sie den Windows-Zertifikatsspeicher: drücken Sie die Tasten Win+R, geben Sie certmgr.msc ein und klicken Sie Ok. Wählen Sie das defekte Zertifikat aus, öffnen sie das Kontextmenü und wählen Sie Alle AufgabenExportieren….

Wenn Sie auf der zweiten Seite des Zertifikatexport-Assistenten nicht die Möglichkeit haben den privaten Schlüssel zu exportieren, ist Ihre Zertifikatsdatei defekt:

Verschlüsselungstest schlägt fehl

Öffnen Sie eine Shell (Win+R und dann cmd oder powershell starten). Geben Sie certutil.exe -user -store My ein. Jetzt werden sämtliche Zertifikate aufgelistet und für alle Zertifikate mit privatem Schlüssel wird ein Verschlüsselungstest durchgeführt.

Finden Sie in der Ausgabe das relevante Zertifikat mittels Nicht vor: und Antragsteller:. Falls der Datensatz mit Gespeicherter Schlüsselsatz fehlt endet sind sie betroffen. Ein Verschlüsselungstest wurde durchgeführt zeigt an dass der private Schlüssel vorrhanden ist und benutzt werden kann.

Signieren und Entschlüsseln in Outlook schlägt fehlt

Outlook verweigert das Senden von signierten E-Mails mit dieser generischen Fehlermeldung:

Dies kann allerdings auch andere Gründe haben.

Nach Doppelklick auf die Zertifikatsdatei von Sectigo liefert macOS nach dreimaliger Eingabe des korrekten Passwords diese beiden Fehlermeldungen.

Der hier dokumentierte Weg mit Firefox funktioniert nicht vollständig auf macOS. Es ist möglich, die Zertifikatsdatei zu konvertieren. Der Import in den macOS-Schlüsselbund muss aber über eine Shell im Terminal durchgeführt werden. Dies ist am Ende dieser Anleitung beschrieben

Alternativ können Sie auch ein neues Zertifikat zu beantragen und beim Speichern das korrekte Format auswählen.

Stellen Sie sicher, dass die OpenSSL Version 3¹ und nicht die macOS-native Version² benutzen.

Führen Sie diesen Befehl aus (ersetzen Sie smime_suspekt.p12 mit dem Pfad und Dateinamen ihrer Zertifikatsdatei):

openssl pkcs12 -info -noout -in smime_suspekt.p12

Die Ausgabe einer falsch (Secure AES256-SHA256) gespeicherten Datei sieht etwa so aus:

MAC: sha256, Iteration 20000
MAC length: 32, salt length: 64
PKCS7 Encrypted data: PBES2, PBKDF2, AES-256-CBC, Iteration 20000, PRF hmacWithSHA256
Certificate bag
Certificate bag
Certificate bag
Certificate bag
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, AES-256-CBC, Iteration 20000, PRF hmacWithSHA256

Korrekt (Compatible TripleDES-SHA1) gespeichert kommt etwa so etwas raus:

MAC: sha1, Iteration 2048
MAC length: 20, salt length: 64
PKCS7 Encrypted data: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Certificate bag
Certificate bag
Certificate bag
Certificate bag
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048

Zertifikatsdatei reparieren

Defektes Zertifikat löschen

Falls die Zertifikatsdatei bereits installiert wurde: öffnen Sie den Windows-Zertifikatsspeicher. Drücken Sie die Tasten Win+R, geben Sie certmgr.msc ein und klicken Sie Ok:

Suchen Sie das defekte Zertifikat. Dies befindet sich normalerweise unter Andere PersonenZertifikate. Löschen Sie das Zertifikat über das Kontext-Menü (Rechtsklick):

Bitte alle defekten Zertifikate löschen

Stellen Sie bitte sicher, dass es keine weiteren solche Zertifikate in ihrem Windows-Zertifikatsspeicher gibt.

Firefox installieren

Installieren Sie – sofern nicht schon vorhanden – den Firefox-Browser³.

Zertifikatsdatei konvertieren

Starten Sie Firefox. Öffnen Sie das Menü () und wählen Sie Einstellungen:

Wählen Sie links den Abschnitt Datenschutz & Sicherheit. Suchen Sie im rechten Teil den Abschnitt Zertifikate und öffnen Sie die Firefox-Zertifikatsverwaltung mittels Zertifikate anzeigen…:

Wählen Sie den Reiter Ihre Zertifikate, dann Importieren:

Wählen Sie die Zertifikatsdatei, die Sie beim Beantragen von Sectigo (heißt smime_*.p12, wenn Sie die nicht umbenannt haben) heruntergeladen haben.

Geben Sie das Passwort ein, welches Sie beim Exportieren auf der Sectigo-Webseite verwendet haben:

Nur die Firefox-eigenen Zertifikate wählen

Firefox hat seit einiger Zeit eine direkte Anbindung an den Zertifikatsspeicher von Windows bzw. die Keychain von macOS. Das ist hier leider kontraproduktiv. Man erkennt solche “firefox-fremde” Zertifikate an der Spalte Kryptographie-Modul/Security Device. Einträge mit Software-Sicherheitsmodul/Software Security Device befinden sich nativ in Firefox. Einträge mit OS Client Cert Token kommen aus dem Betriebssystem. Stellen Sie sicher hier nur auf Einträgen der ersten Art zu arbeiten.

Wählen Sie das gerade importierte Zertifikat aus und wählen Sie Sichern…:

Setzen Sie ein sicheres Export-Passwort. Sie können das vorher verwendete Passwort benutzen:

Sichern Sie das konvertierte Zertifikat unter einem neuen Dateinamen.

Reparierte Datei im Betriebssystem importieren

Import in Windows Import in macOS

Öffnen Sie das konvertierte Zertifikat durch Doppelklick auf die neue Datei. Durchlaufen Sie den Import-Assistenten.

Das reparierte Zertifikat sollte jetzt im Windows-Zertifikatsspeicher unter Eigene ZertifikateZertifikate auftauchen:

Öffnen Sie das Terminal. Navigieren Sie in das Verzeichnis mit der konvertierten Zertifikatsdatei (potenziell einfach cd ~/Downloads/). Importieren Sie die konvertierte Zertifikatsdatei mit diesem Befehl (ersetzen Sie new.p12 durch den von ihnen beim Speichern in Firefox gewählten Dateinamen):

security import new.p12

Geben Sie das Passwort ein, welches Sie beim Speichern in Firefox gewählt haben.

Nachgang

Wenn Sie ihr repariertes Zertifikat erfolgreich genutzt haben, löschen Sie die defekte Datei oder markieren die diese auffällig (beispielsweise mit einem Dateinamen, der mit SECTIGO_DEFEKT_ anfängt).

---

1. openssl version sollte OpenSSL 3.x.y … liefern ↩

2. openssl version sollte … Library: OpenSSL und nicht … Library: LibreSSL liefern ↩

3. Ist bei verwaltete KIT-Systeme vorinstalliert. Ansonsten: Mozilla, winget, Chocolatey, scoop ↩