Ein bekannter Fehler beim Importieren der .p12-Datei von erhaltenen Nutzerzertifikaten von TCS Sectigo äußert sich bei einigen Systemen (z.B. Windows, iOS) wie folgt:
-
Aufforderung zum Einstecken einer Smartcard
-
"Das eingegebene Kennwort ist falsch"
-
"Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben“
-
Der Import bricht nach einer Wartezeit ohne Fehlermeldung ab, es erscheint nicht das erwartete Folgefenster zur Auswahl der Sicherheitsstufe für den privaten Schlüssel.
Die Lösung besteht aus folgenden Schritten:
-
Zertifikat in den Zertifikatsspeicher von Firefox importieren und anschließend wieder als p.12-Datei exportieren (In den Einstellungen unter "Datenschutz & Sicherheit" - "Sicherheit" - "Zertifikate" - "Zertifikate anzeigen" - im Bereich "Ihre Zertifikate")
-
Die exportierte Zertifikatsdatei sollte nun ohne den o.g. Fehler importiert werden können
-
Das in Firefox importierte Zertifikat sollte bei Nicht-Bedarf wieder aus dem Firefox-Zertifikatsspeicher gelöscht werden
Alternativ kann das Problem auch über openssl-Befehle auf der Befehlszeile gelöst werden. Die genauen Schritte finden Sie im zweiten Dropdown-Element.
-
Schritt-Für-Schritt-Anleitung mit Screenshots (Firefox In-/Export)
![Öffnen Sie im Firefox über das "Burger-Menu" (3 Balken oben rechts) die Einstellungen.]()
![Öffnen Sie im Firefox über das "Burger-Menu" (3 Balken oben rechts) die Einstellungen.]()
![Öffnen Sie im Firefox über das "Burger-Menu" (3 Balken oben rechts) die Einstellungen.]()
Öffnen Sie im Firefox über das "Burger-Menu" (3 Balken oben rechts) die Einstellungen. ![Navigieren Sie im Bereich "Datenschutz & Sicherheit" zu "Zertifikate" und klicken Sie auf "Zertifikate anzeigen"]()
![Navigieren Sie im Bereich "Datenschutz & Sicherheit" zu "Zertifikate" und klicken Sie auf "Zertifikate anzeigen"]()
![Navigieren Sie im Bereich "Datenschutz & Sicherheit" zu "Zertifikate" und klicken Sie auf "Zertifikate anzeigen"]()
Navigieren Sie im Bereich "Datenschutz & Sicherheit" zu "Zertifikate" und klicken Sie auf "Zertifikate anzeigen" ![Klicken Sie im Bereich "Ihre Zertifikate" auf "Importieren".]()
![Klicken Sie im Bereich "Ihre Zertifikate" auf "Importieren".]()
![Klicken Sie im Bereich "Ihre Zertifikate" auf "Importieren".]()
Klicken Sie im Bereich "Ihre Zertifikate" auf "Importieren". ![Wählen Sie Ihre Zertifikats-Datei (.p12) aus.]()
![Wählen Sie Ihre Zertifikats-Datei (.p12) aus.]()
![Wählen Sie Ihre Zertifikats-Datei (.p12) aus.]()
Wählen Sie Ihre Zertifikats-Datei (.p12) aus. ![Geben Sie das Passwort der Zertifikatsdatei ein und klicken Sie auf "Anmelden".]()
![Geben Sie das Passwort der Zertifikatsdatei ein und klicken Sie auf "Anmelden".]()
![Geben Sie das Passwort der Zertifikatsdatei ein und klicken Sie auf "Anmelden".]()
Geben Sie das Passwort der Zertifikatsdatei ein und klicken Sie auf "Anmelden". ![Das Zertifikat ist nun importiert. Im nächsten Schritt soll das Zertifikat nun wieder exportiert werden. Wählen Sie dafür das zuvor importierte Zertifikat aus und klicken auf "Sichern".]()
![Das Zertifikat ist nun importiert. Im nächsten Schritt soll das Zertifikat nun wieder exportiert werden. Wählen Sie dafür das zuvor importierte Zertifikat aus und klicken auf "Sichern".]()
![Das Zertifikat ist nun importiert. Im nächsten Schritt soll das Zertifikat nun wieder exportiert werden. Wählen Sie dafür das zuvor importierte Zertifikat aus und klicken auf "Sichern".]()
Das Zertifikat ist nun importiert. Im nächsten Schritt soll das Zertifikat nun wieder exportiert werden. Wählen Sie dafür das zuvor importierte Zertifikat aus und klicken auf "Sichern". ![Geben Sie einen neuen Namen für die neue exportierte .p12-Datei an und klicken auf "Save".]()
![Geben Sie einen neuen Namen für die neue exportierte .p12-Datei an und klicken auf "Save".]()
![Geben Sie einen neuen Namen für die neue exportierte .p12-Datei an und klicken auf "Save".]()
Geben Sie einen neuen Namen für die neue exportierte .p12-Datei an und klicken auf "Save". ![Setzen Sie ein ausreichend sicheres Passwort für die neue exportierte .p12-Datei, um die Datei ausreichend zu schützen.]()
![Setzen Sie ein ausreichend sicheres Passwort für die neue exportierte .p12-Datei, um die Datei ausreichend zu schützen.]()
![Setzen Sie ein ausreichend sicheres Passwort für die neue exportierte .p12-Datei, um die Datei ausreichend zu schützen.]()
Setzen Sie ein ausreichend sicheres Passwort für die neue exportierte .p12-Datei, um die Datei ausreichend zu schützen. ![Das Zertifikat ist nun exportiert und kann für den Import in Outlook etc. verwendet werden. Die zuvor aufgetretenen Fehler sollten nun nicht mehr auftreten. Löschen Sie das Zertifikat aus dem Zertifikatsspeicher von Firefox indem Sie das zuvor importierte Zertifikat auswählen und auf "Löschen" klicken (sofern Sie das Zertifikat nicht im Browser benötigen).]()
![Das Zertifikat ist nun exportiert und kann für den Import in Outlook etc. verwendet werden. Die zuvor aufgetretenen Fehler sollten nun nicht mehr auftreten. Löschen Sie das Zertifikat aus dem Zertifikatsspeicher von Firefox indem Sie das zuvor importierte Zertifikat auswählen und auf "Löschen" klicken (sofern Sie das Zertifikat nicht im Browser benötigen).]()
![Das Zertifikat ist nun exportiert und kann für den Import in Outlook etc. verwendet werden. Die zuvor aufgetretenen Fehler sollten nun nicht mehr auftreten. Löschen Sie das Zertifikat aus dem Zertifikatsspeicher von Firefox indem Sie das zuvor importierte Zertifikat auswählen und auf "Löschen" klicken (sofern Sie das Zertifikat nicht im Browser benötigen).]()
Das Zertifikat ist nun exportiert und kann für den Import in Outlook etc. verwendet werden. Die zuvor aufgetretenen Fehler sollten nun nicht mehr auftreten. Löschen Sie das Zertifikat aus dem Zertifikatsspeicher von Firefox indem Sie das zuvor importierte Zertifikat auswählen und auf "Löschen" klicken (sofern Sie das Zertifikat nicht im Browser benötigen). ![]()
![]()
![]()
Bestätigen Sie den Löschvorgang mit "OK". Die Anleitung wurde mit Mozilla Firefox for Ubuntu Version 117.0.1 am 20.09.2023 erstellt.
-
Alternative über openssl auf der Befehlszeile
Die folgenden Schritte stellen eine Alternative zum Workaround über Firefox dar und können alternativ versucht werden, falls der Firefox-In-/Export nicht funktioniert oder nicht zur Verfügung steht.
Schritt 1: .p12-Datei zu einer .pem-Datei konvertieren (Es wird das zuvor gesetzte Passwort sowie das neu zu setzende Passwort für die neue .pem-Datei abgefragt):
openssl pkcs12 -in zertifikat.p12 -out neu.pemSchritt 2: Zurück konvertieren der .pem-Datei in eine .p12-Datei (auch hier wird das zuvor gesetzte Paswort der .pem-Datei sowie das neu zu setzende Passwort der neuen .p12-Datei abgefragt)
openssl pkcs12 -export -legacy -in neu.pem -out neu.p12Durch die Verwendung der -legacy - Flag wird ein älteres kryptographisches Verfahren gewählt (siehe Hinweis unten), was dem Export aus Firefox entspricht. Mit der neuen .p12-Datei kann der Import des Zertifikats nun erneut probiert werden.
Beim Export aus Firefox wird standardmäßig das kryptographische Verfahren TripleDES-CBC zum Schutz des privaten Schlüssels verwendet. Dies ist deutlich älter und unsicherer als die standardmäßige verwendete Variante in den Zertifikatsbundle-Dateien von Sectigo (AES256-SHA256). Da ohne diese Änderung der Import bei o.g. Fehler nicht funktioniert, gibt es dafür jedoch momentan keine Alternative.
Das bedeutet, dass bei Anwendung des o.g. Workarounds der Schutz der aus Firefox exportierten Schlüsseldatei vor unberechtigtem Zugriff umso wichtiger ist, da sich auf den Passwortschutz durch das unsicherere kryptographische Verfahren nicht verlassen werden kann. Die Datei sollte am besten nach dem Importieren wieder gelöscht werden (oder falls das keine Option ist nur lokal abgelegt werden).