Dabinam 1 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Hallo, ich habe ein neues Exchange Zertifikat für unseren Exchange Server 2019 von der PSW-Group erhalten. Ich habe das Zertifikat (certificate.crt) nun unter im Computerkonto unter "Eigene Zertifikate" importiert und wollte es mit dem Privaten Schlüssel für eine Sophos UTM exportieren, doch leider wird beim Export der private Schlüssel nicht mit angeboten. Der Befehl certutil –repairstore my „Seriennummer des Zertifikats“ hat folgen Output gehabt: Seriennummer: XXXXXXXXXXXXXXXXX Aussteller: CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US Nicht vor: 10.06.2023 01:00 Nicht nach: 11.07.2024 03:00 Antragsteller: CN=Name_des_Exchangeservers Kein Stammzertifikat Zertifikathash(sha1): XXXXXXXXXXXXXXXXX Schlüsselcontainer = XXXXXXXXXXXXXXXXX Eindeutiger Containername: XXXXXXXXXXXXXXXXX Anbieter = Microsoft Enhanced Cryptographic Provider v1.0 Der private Schlüssel ist NICHT exportierbar Verschlüsselungstest wurde durchgeführt CertUtil: -repairstore-Befehl wurde erfolgreich ausgeführt. Kann mir jemand sagen, wie ich einen Export des Zertifikats mit privatem Schlüssel hinbekomme. Zitieren Link zu diesem Kommentar
mikro 68 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Moin, dann hast Du beim erstellen im Request nicht angegeben das der Prive Key exporteierbar sein darf. Ich denke das musst Du nochmal requesten. Gruß mikro Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Nicht unbedingt. ICh hatte das neulich auch auf dem Exchange und den alten Key konnte ich sehr wohl exportieren. Ich hab mir dann den private Key des alten Zertifikats mal als PFX auf einen anderen Server gezogen und dort per certutil das neue "repariert" und siehe da, man konnte das neue mit Key exportieren. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Moin, das Flag "nicht exportierbar" ist nur ein Versteckspiel. Die Windows-MMC hält sich daran, das müsste sie aber nicht tun. Es gibt Clients, mit denen man den Key trotzdem exportieren kann. Ist auch kein Wunder, denn um ihn nutzen zu können, muss man ihn ja lesen, und das ist bei Computern gleichbedeutend mit Kopieren. Gruß, Nils PS. nein, ich kann keinen Client nennen, mangels Bedarf. Kann aber keine riesige Hürde sein. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Ist auch keine Hürde, aber offenbar strengt sich MS immer mal wieder an, denn das Tool funktionierte früher problemlos, inzwischen hab ichs kaum noch in Gebrauch, aber ich geh auch davon aus, dass das keine unlösbare Hürde sein dürfte. Aber wie gesagt, ob den Fehler hatte ich erst in der vergangenen Woche, und solange man den private Key mit dem alten Zert noch exportieren kann, gibts ja auch keinen Bedarf für wirkliche Verrenkungen. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.479 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Zur Not hilft unter anderem das Tool von Digicert https://www.digicert.com/support/tools/certificate-utility-for-windows Zitieren Link zu diesem Kommentar
Dabinam 1 Geschrieben 19. Juni 2023 Autor Melden Teilen Geschrieben 19. Juni 2023 Das komische ist, dass sich das alte Zertifikat auch nicht mit privatem Schlüssel exportieren lässt. Ich habe den Exchange Server anfang des Jahres von 2013 auf 2019 migriert und das bestehende Zertifikat natürlich "mitgenommen". Auf dem 2013er ließ es sich auch damals für unsere Sophos UTM mit privatem Key exportieren. Das Tool von Digicert hat nichts gebracht, habe jetzt aber mit diesem Tool GitHub - iSECPartners/jailbreak: Jailbreak in unserer Testumgebung Erfolg gehabt. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 19. Juni 2023 Melden Teilen Geschrieben 19. Juni 2023 Gerade eben schrieb Dabinam: unserer Testumgebung Erfolg gehabt. jupp, das meinte ich oben. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.