LukasB 10 Geschrieben 2. November 2009 Melden Teilen Geschrieben 2. November 2009 Hallo Miteinander, Ich steh mal wieder etwas auf dem Schlauch und finde nicht heraus wie ich etwas machen muss. Ich bin gerade dabei unsere Testumgebung für Exchange 2010 vorzubereiten - dafür brauche ich einen neuen SAN-Namen im Zertifikat. Bei unserem Zertifikatsprovider konnte ich das neue Zertifikat auch problemlos beantragen und habe nun eine neue .crt Datei für denselben Private Key aber mit neuem SAN-Namen. Also hab ich mal naiv probiert dieses .crt File mit Import-ExchangeCertificate zu importieren, was auch geklappt hat. Aber das anschliessende aktivieren mit Enable-ExchangeCertificate klappt nicht. Enable-ExchangeCertificate : The certificate with thumbprint 1234 was found but is not valid for use with Exchange Server (reason: PrivateKeyMissing). Okay, also flugs im certmgr.msc angeschaut. Das alte Zertifikat ist drinnen und hat auch einen kleinen Schlüssel der anzeigt das ein Private Key vorhanden ist. Beim neuen Zertifikat wird aber nicht angezeigt das ein Private Key vorhanden ist - anscheinend muss ich Windows noch irgendwie mitteilen das die Zertifikate zusammengehören. Was ich gefunden habe ist die Option "Renew this certificate with the same key", aber dort wird gemeckert das "The request contains no certificate template information", eine Fehlermeldung die darauf hindeuted das die Funktionalität für Windows-Online CAs gedacht ist und nicht für Third-Party CAs. Nun, ich hab jetzt zwei Lösungsansätze aber die find ich beide nicht so elegant - das Zertifikat Rekeyen, und dann das neue Zertifikat benutzen. Oder mittels OpenSSL in einem exportieren PFX das Zertifikat ersetzen und das PFX-File wieder importieren. Kurzfassung: Wie ersetze ich ein Zertifikat, sodass der alte Private Key weiterverwendet werden kann? Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 2. November 2009 Melden Teilen Geschrieben 2. November 2009 Ich würde wahrscheinlich mit OpenSSL mein Glück versuchen. ;) bye Norbert Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 2. November 2009 Autor Melden Teilen Geschrieben 2. November 2009 Ich würde wahrscheinlich mit OpenSSL mein Glück versuchen. ;) Wenn du das sagst gibts wohl keine elegantere Lösung :) Private Key exportieren openssl pkcs12 -in mykey.pfx > out.txt In out.txt den Private-Key heraussuchen (z.B. mittels Notepad++, der Unix LF versteht), den Private Key in key.pem speichern) Das neue CA-Zertifikat in cert.crt speichern. openssl pkcs12 -export -in cert.crt -inkey key.pem -out newcert.p12 Das ganze wieder in Exchange importieren. $secureString = ConvertTo-SecureString "blubb" -AsPlainText -Force Import-ExchangeCertificate -path C:\cert\newcert.p12 -pass $secureString Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 2. November 2009 Melden Teilen Geschrieben 2. November 2009 Wenn du das sagst gibts wohl keine elegantere Lösung :) Das würde ich jetzt nicht unbedingt so stehen lassen, aber mir fällt halt auch keine bessere ein. ;) Es funktioniert also, oder? Bye Norbert Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 2. November 2009 Autor Melden Teilen Geschrieben 2. November 2009 Es funktioniert also, oder? Jap :) Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 2. November 2009 Melden Teilen Geschrieben 2. November 2009 OK, werd ich mir mal merken. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.