Почему при импорте сертификата в exchange 2013 ругается на неправильный заданный пароль на сертификат?

Question

[NoobStar]

Имеется купленный SSL (wildcart). p7b и crt.
На ПК с библиотеками openssl (Win64OpenSSL-3_0_5) из p7b делаю pfx.

openssl pkcs12 -export -out output-cert-name.pfx -inkey key-file-name.key -in input-cert-name.crt

Получившийся файлик pfx пытаюсь импортировать через manage console:

[PS] C:\Windows\system32>Import-ExchangeCertificate -FileName "C:\mail\mail.pfx" -Password (ConvertTo-SecureString -
String 'Password' -AsPlainText -Force)
Ответ:
A special Rpc error occurs on server Srv: The source data cannot be imported or the wrong password was specified
.
+ CategoryInfo : ReadError: (:) [Import-ExchangeCertificate], InvalidOperationException
+ FullyQualifiedErrorId : [Server=Srv,RequestId=33716082-7614-41f3-89da-7ffb57e9ffe4,TimeStamp=25.08.2022 1
2:25:15] [FailureCategory=Cmdlet-InvalidOperationException] F10D0893,Microsoft.Exchange.Management.SystemConfigura

Через ECP/mmc такая же проблема. Ругается на пароль.
На обычных ПК сертификат удается занести в хранилище без проблем.

Comments

[Vadim]

Старым openssl 1.1.1* соберите pfx.

Answer 1

[NoobStar]

В итоге понял в чем была проблема.
Оказывается сервер 12 где крутится чанга не поддерживает метод шифрования пароля сертификата.
А т.к я пробовал делать анпакинг сертификатов на 11 винде эй было очень даже замечательно.
Вот команда для WSsrv2012 r2
openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -inkey private.key -in cert_name.crt -out cert_name.legacy.pfx

Comments

[MaxKozlov]

Вы б хоть версию openssl указали
потому что мои все работают ажно на 2008R2

Answer 2

[MaxKozlov]

Ну и занесите его в хранилище руками, раз утверждаете что получается
LocalMachine\My\
а потом назначите через Enable-ExchangeCertificate

#А вообще пароль проще запросить
$cred = get-credential
#и использовать
Import-ExchangeCertificate -FileName "C:\mail\mail.pfx" -Password $cred.Password

Comments

[NoobStar]

не все равно на пароль ругается. Такое ощущение что ему privatkey нужно еще где то указывать.

[Роман Безруков]

NoobStar,
что будет, если указать пустой пароль при конвертации?
файл crt содержит один сертификат или несколько?
руками пробовали импортировать p7b или crt в хранилище LocalMachine\Personal прямо на сервере Exchange?

[NoobStar]

Роман Безруков, на пустой пароль точно так же ругается, типо не верный пароль.
Руками так же пишет ошибку мол пароль не верный.
У меня на руках p7b/crt/bundle CA.

[Роман Безруков]

NoobStar, я бы попробовал выкусить конкретно сертификат из этих файлов и конвертировать только его