coreknabe
Goto Top

Exchange Server - Erneuertes Zertifikat einbinden

Moin,

ich musste auf unserem Exchange 2019 mal wieder das Frontend-Zertifikat erneuern. Wir bekommen über einen externen Anbieter vor Ablauf des alten Zertifikats ein erneuertes. Wenn ich jetzt versuche, das einzubinden, schlägt dies jedoch fehl (s.u.).

$ImportCert = Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Neues-Zert-2024.cer -Encoding byte -ReadCount 0))

Enable-ExchangeCertificate -Thumbprint $ImportCert.Thumbprint -Services POP,IMAP,SMTP,IIS

Ein spezieller RPC-Fehler ist auf Server EXCHANGE aufgetreten: Das Zertifikat mit dem Fingerabdruck '8960FD914AB41E1F4F938A6F059644FB5FA14AEC' wurde gefunden, ist jedoch für die Verwendung mit  
Exchange Server nicht gültig (Begründung: PrivateKeyMissing).
    + CategoryInfo          : NotSpecified: (:) [Enable-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=EXCHANGE,RequestId=6de25738-2694-46f3-9044-ac65630a67bc,TimeStamp=22.04.2024 09:36:27] [FailureCategory=Cmdlet-InvalidOperationException] 9571B9B6,Microsoft.Ex
   change.Management.SystemConfigurationTasks.EnableExchangeCertificate
    + PSComputerName        : mailserver.domaene.de

Verstehe ich nicht ganz, der private Schlüssel liegt doch im IIS, nachdem ich den Zertifikatsrequest erzeugt habe?
Und wenn das Zertifikat vom Anbieter jetzt einfach erneuert wurde, hat sich doch daran nix geändert? Oder habe ich da einen Denkfehler?

Letztlich ist es natürlich kein Problem, einen neuen Request zu erstellen und den einzureichen, würde das aber gern verstehen.

Gruß

Content-ID: 9508306513

Url: https://administrator.de/contentid/9508306513

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

12764050420
Lösung 12764050420 22.04.2024 aktualisiert um 15:11:51 Uhr
Goto Top
Hallo.
Normal, Import-ExchangeCertificate akzeptiert nur Zertifikats-Container (PFX/P12) inkl. Private Key
https://learn.microsoft.com/en-us/powershell/module/exchange/import-exch ...

You can use the Import-ExchangeCertificate cmdlet to import the following types of certificate files on an Exchange server:

  • APKCS #7 certificate or chain of certificates file (.p7b or .p7c) that was issued by a certification authority (CA). PKCS #7 is the Cryptographic Message Syntax Standard, a syntax used for digitally signing or encrypting data using public key cryptography, including certificates. For more information, see PKCS #7 Cryptographic Messaging Syntax Concepts.
  • A PKCS #12 certificate file (.cer, .crt, .der, .p12, or .pfx) that contains the private key. PKCS #12 is the Personal Information Exchange Syntax Standard, a file format used to store certificates with corresponding private keys that are protected by a password. For more information, see PKCS #12: Personal Information Exchange Syntax v1.1.

Private Key aus dem Store exportieren und mit Public Key und OpenSSL zu einem PFX/P12 kombinieren.
openssl pkcs12 -export -in public.pem -inkey private.key -out cert.pfx

Gruß schrick
Vision2015
Lösung Vision2015 22.04.2024 aktualisiert um 15:30:57 Uhr
Goto Top
Moin...
der Import wäre in deinem fall so....

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Install\certifikat.p12 -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string 123456 -asplaintext -force)

Verstehe ich nicht ganz, der private Schlüssel liegt doch im IIS, nachdem ich den Zertifikatsrequest erzeugt habe?
Und wenn das Zertifikat vom Anbieter jetzt einfach erneuert wurde, hat sich doch daran nix geändert? Oder habe ich da einen Denkfehler?
ja, hast du

Frank
Coreknabe
Coreknabe 22.04.2024 um 15:46:04 Uhr
Goto Top
Moin,

OK, danke Euch!

Gruß
aqui
aqui 22.04.2024 um 16:23:45 Uhr
Goto Top
Import-ExchangeCertificate akzeptiert nur Zertifikats-Container (PFX/P12) inkl. Private Key
Lesenswert dazu:
EAP-PEAP über Radius: cert "wird nicht vertraut"