coreknabe
Goto Top

Exchange Server - Erneuertes Zertifikat einbinden

Moin,

ich musste auf unserem Exchange 2019 mal wieder das Frontend-Zertifikat erneuern. Wir bekommen über einen externen Anbieter vor Ablauf des alten Zertifikats ein erneuertes. Wenn ich jetzt versuche, das einzubinden, schlägt dies jedoch fehl (s.u.).

$ImportCert = Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Neues-Zert-2024.cer -Encoding byte -ReadCount 0))

Enable-ExchangeCertificate -Thumbprint $ImportCert.Thumbprint -Services POP,IMAP,SMTP,IIS

Ein spezieller RPC-Fehler ist auf Server EXCHANGE aufgetreten: Das Zertifikat mit dem Fingerabdruck '8960FD914AB41E1F4F938A6F059644FB5FA14AEC' wurde gefunden, ist jedoch für die Verwendung mit  
Exchange Server nicht gültig (Begründung: PrivateKeyMissing).
    + CategoryInfo          : NotSpecified: (:) [Enable-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=EXCHANGE,RequestId=6de25738-2694-46f3-9044-ac65630a67bc,TimeStamp=22.04.2024 09:36:27] [FailureCategory=Cmdlet-InvalidOperationException] 9571B9B6,Microsoft.Ex
   change.Management.SystemConfigurationTasks.EnableExchangeCertificate
    + PSComputerName        : mailserver.domaene.de

Verstehe ich nicht ganz, der private Schlüssel liegt doch im IIS, nachdem ich den Zertifikatsrequest erzeugt habe?
Und wenn das Zertifikat vom Anbieter jetzt einfach erneuert wurde, hat sich doch daran nix geändert? Oder habe ich da einen Denkfehler?

Letztlich ist es natürlich kein Problem, einen neuen Request zu erstellen und den einzureichen, würde das aber gern verstehen.

Gruß

Content-Key: 9508306513

Url: https://administrator.de/contentid/9508306513

Printed on: May 28, 2024 at 08:05 o'clock

Mitglied: 12764050420
Solution 12764050420 Apr 22, 2024 updated at 13:11:51 (UTC)
Goto Top
Hallo.
Normal, Import-ExchangeCertificate akzeptiert nur Zertifikats-Container (PFX/P12) inkl. Private Key
https://learn.microsoft.com/en-us/powershell/module/exchange/import-exch ...

You can use the Import-ExchangeCertificate cmdlet to import the following types of certificate files on an Exchange server:

  • APKCS #7 certificate or chain of certificates file (.p7b or .p7c) that was issued by a certification authority (CA). PKCS #7 is the Cryptographic Message Syntax Standard, a syntax used for digitally signing or encrypting data using public key cryptography, including certificates. For more information, see PKCS #7 Cryptographic Messaging Syntax Concepts.
  • A PKCS #12 certificate file (.cer, .crt, .der, .p12, or .pfx) that contains the private key. PKCS #12 is the Personal Information Exchange Syntax Standard, a file format used to store certificates with corresponding private keys that are protected by a password. For more information, see PKCS #12: Personal Information Exchange Syntax v1.1.

Private Key aus dem Store exportieren und mit Public Key und OpenSSL zu einem PFX/P12 kombinieren.
openssl pkcs12 -export -in public.pem -inkey private.key -out cert.pfx

Gruß schrick
Member: Vision2015
Solution Vision2015 Apr 22, 2024 updated at 13:30:57 (UTC)
Goto Top
Moin...
der Import wäre in deinem fall so....

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Install\certifikat.p12 -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string 123456 -asplaintext -force)

Verstehe ich nicht ganz, der private Schlüssel liegt doch im IIS, nachdem ich den Zertifikatsrequest erzeugt habe?
Und wenn das Zertifikat vom Anbieter jetzt einfach erneuert wurde, hat sich doch daran nix geändert? Oder habe ich da einen Denkfehler?
ja, hast du

Frank
Member: Coreknabe
Coreknabe Apr 22, 2024 at 13:46:04 (UTC)
Goto Top
Moin,

OK, danke Euch!

Gruß
Member: aqui
aqui Apr 22, 2024 at 14:23:45 (UTC)
Goto Top
Import-ExchangeCertificate akzeptiert nur Zertifikats-Container (PFX/P12) inkl. Private Key
Lesenswert dazu:
EAP-PEAP über Radius: cert "wird nicht vertraut"