Я заметил, что, начиная с Windows Server 2019 и неизвестной версии Windows 10 (я использую 1903 и пробовал также 1809), когда вы экспортируете сертификат и также выбираете экспорт его закрытого ключа, у вас есть возможность выбрать метод шифрования (это поле со списком сразу под паролем и полями подтверждения пароля):
TripleDES-SHA1
AES256-SHA256
В Windows Server 2012 и Windows Server 2016 этот параметр отсутствует. Когда вы пытаетесь импортировать сертификат с закрытым ключом на WS2012 и WS2016, который был экспортирован с шифрованием AES256-SHA256, при вводе пароля выдается сообщение об ошибке, указывающее, что пароль неверен. ОДНАКО, если вы импортируете сертификат с закрытым ключом, который был экспортирован с использованием шифрования TripleDES-SHA1, он работает.
Поскольку Windows Server 2016 основан на Windows 10 v1607, а Windows Server 2019 основан на Windows 10 v1809, этот параметр должен быть добавлен между этими версиями, поэтому:
1703
1709
1803
Кто-нибудь знает, когда была добавлена эта опция? И есть ли способ заставить Windows Server 2012 и 2016 импортировать сертификаты с закрытым ключом, зашифрованным с помощью AES256-SHA256?
Спасибо,
PS: Сертификат представляет собой файл .pfx, который можно импортировать с помощью мастера импорта сертификатов.
Изменить: вот снимок экрана с опцией.
Итак, согласно этой проблеме на PowerShell GitHub, эти параметры могли быть добавлены где-то около Windows 10 v1709. Таким образом, Windows Server 2016 v1709 и Windows 10 v1709 поддерживают тип шифрования AES256-SHA256.
https://github.com/PowerShell/CertificateDsc/issues/153#issuecomment-413766692