Ein bekannter Fehler beim Importieren der .p12-Datei von erhaltenen Nutzerzertifikaten von TCS Sectigo äußert sich bei einigen Systemen (z.B. Windows, iOS) wie folgt:
-
Aufforderung zum Einstecken einer Smartcard
-
"Das eingegebene Kennwort ist falsch"
-
"Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben“
Die Lösung besteht aus folgenden Schritten:
-
Zertifikat in den Zertifikatsspeicher von Firefox importieren und anschließend wieder als p.12-Datei exportieren (In den Einstellungen unter "Datenschutz & Sicherheit" - "Sicherheit" - "Zertifikate" - "Zertifikate anzeigen" - im Bereich "Ihre Zertifikate")
-
Die exportierte Zertifikatsdatei sollte nun ohne den o.g. Fehler importiert werden können
-
Das in Firefox importierte Zertifikat sollte bei Nicht-Bedarf wieder aus dem Firefox-Zertifikatsspeicher gelöscht werden
-
Schritt-Für-Schritt-Anleitung mit Screenshots
Die Anleitung wurde mit Mozilla Firefox for Ubuntu Version 117.0.1 am 20.09.2023 erstellt.
Beim Export aus Firefox wird standardmäßig das kryptographische Verfahren TripleDES-CBC zum Schutz des privaten Schlüssels verwendet. Dies ist deutlich älter und unsicherer als die standardmäßige verwendete Variante in den Zertifikatsbundle-Dateien von Sectigo (AES256-SHA256). Da ohne diese Änderung der Import bei o.g. Fehler nicht funktioniert, gibt es dafür jedoch momentan keine Alternative.
Das bedeutet, dass bei Anwendung des o.g. Workarounds der Schutz der aus Firefox exportierten Schlüsseldatei vor unberechtigtem Zugriff umso wichtiger ist, da sich auf den Passwortschutz durch das unsicherere kryptographische Verfahren nicht verlassen werden kann. Die Datei sollte am besten nach dem Importieren wieder gelöscht werden (oder falls das keine Option ist nur lokal abgelegt werden).