PEM zu PFX umwandeln schlägt fehl

[Shady17 0]

Grüßt euch Kollegen!

 

Ich möchte ein neues Zertifikat von unserem OWA im Exchange 2010 installieren und stoße dabei auf ein Problem.

 

Das Zertifikat ist im Format PEM. Nun wollte ich das Zertifikat zu PFX (PKCS12) umwandeln. Dafür benötige ich das Zertifikat und den Private Key (auch im PEM-Format), soweit so gut. Ich nutze OpenSSL für Windows und wollte mit folgendem Befehl das Zertifikat umwandeln:

 

openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in cert.pem - nun wird das Passwort vom Private Key abgefragt.

 

Jetzt bekomme ich aber folgende Fehlermeldung: unable to load certificates, 8584:error:0906D064:PEM routines :PEM_read_bio: bad base64 decode, error in pkcs12

 

Ich habe herausgefunden, dass das PEM-Zertifikat in der letzten Zeile zu wenig Zeichen hat. Bei Base64 müssen ja in jeder Zeile 64 Zeichen sein. In der letzten Zeile sind es aber nur 27. Ich denke daran wird es liegen, dass die Konvertierung nicht funktioniert.

 

Habt ihr eine Idee, wie ich das Zertifikat in PFX umwandeln kann oder wie man das PEM erstmal so umwandelt, dass es in jeder Zeile 64 Zeichen hat?

 

Danke

[testperson 1.680]

Hi,

 

du hast einen CSR erstellt und von einer CA signieren lassen? Und die CA hat dir dein signiertes Zertifikat als PEM bereitgestellt?

Wo bzw. wie hast du den CSR erstellt?

 

Gruß

Jan

[Shady17 0]

Korrekt, wurde von einer externen CA signiert und das Zertifikat wurde mir dann als PEM bereitgestellt. Ich habe den CSR (PKCS10) mithilfe von OpenSSL erstellt.

bearbeitet 18. September 2017 von Shady17

[zahni 554]

Lt. Google:

 

 

openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

 

Sind die  Dateien wirklich in Base64 kodiert?

[Shady17 0]

@Zahni: Das habe ich auch soeben probiert, also zusätzlich noch das CACert mit im Befehl eingebunden. Trotz alledem die gleiche Fehlermeldung.

 

Naja PEM ist ja immer Base64

[zahni 554]

Schaue doch einfach rein. Notepad, o.ä.

[Shady17 0]

Da steht nur:

 

-----BEGIN CERTIFICATE-----

*Hier steht der Inhalt*

-----END CERTIFICATE-----

bearbeitet 18. September 2017 von Shady17

[testperson 1.680]

Dann erstell den CSR doch nochmal neu und zwar aus der EMC oder EMS, lass den neu von der CA signieren und importiere ihn dann direkt über die EMC / EMS.

Wozu überhaupt der Umweg über openssl bzw. warum so kompliziert?

bearbeitet 18. September 2017 von testperson

[zahni 554]

Welche OpenSSL Version?

 

Ansonsten sehe ich gerade: Bei Google "PEM_read_bio: bad base64 decode"  wird man sicher fündig.

bearbeitet 18. September 2017 von zahni

[Shady17 0]

@testperson: Ja wenn alle Stricke reißen dann werde ich es direkt über die EMC/EMS machen.

 

@zahni: 1.1.0e

 

Problem gelöst: Das Zertifikat kam defekt bei mir an. Habe es mit der CA klären können und nun funktoniert es (mir wurde ein neues gesendet).

bearbeitet 18. September 2017 von Shady17