radiogugu
Goto Top

Exchange Zertifikat Private Key "verlegt"? - Kein Problem

Hallo zusammen.

Wurde gerade von einem Kollegen angerufen, der verzweifelt nach dem Private Key eines vorhandenen SAN Zertifikats gesucht hatte. Dieser ist aber unauffindbar.

Daher eine kurze Hilfestellung, wenn das Szenario so aussieht, dass ein bereits konfigurierter Exchange Server mit aktivem Zertifikat vorliegt.


1. Zertifikat aus dem EAC oder der ManagementShell exportieren als .pfx Datei mit Kennwort

2. OpenSSL für Windows herunterladen, zum Beispiel von Sourceforge: https://sourceforge.net/projects/openssl/

3. OpenSSL.exe aus dem BIN Verzeichnis als Administrator ausführen und im sich öffnenden Fenster die Konfigurationsdatei mit dem folgenden Befehl bekanntgeben:


4.Mit dem folgenden Befehl wird das Zertifikat in einen angegebenen Ordner als TXT Datei exportiert:


5. Nun kann TXT Datei geöffnet und die beiden Segmente "Private Key" und "Certificate" separat in .key und .crt Dateien mittels Notepad gespeichert werden


Damit ist nun der Private Key des Zertifikats wieder da.

Eventuell hilft das jemandem, der vor ähnlicher Problematik steht.

Gruß
Marc

Content-Key: 992291484

Url: https://administrator.de/contentid/992291484

Printed on: February 8, 2023 at 11:02 o'clock

Member: canlot
canlot Jul 13, 2021 at 16:03:56 (UTC)
Goto Top
Dafür muss das Zertifikat als "exportierbar" markiert sein.
Member: SeaStorm
SeaStorm Jul 13, 2021 at 19:39:55 (UTC)
Goto Top
und wenn es das nicht ist liest man es halt mit der Katz aus face-smile
Member: radiogugu
radiogugu Jul 14, 2021 at 10:36:11 (UTC)
Goto Top
Zitat von @SeaStorm:
und wenn es das nicht ist liest man es halt mit der Katz aus face-smile

Hi.

Stehe auf dem Schlauch, welche "Katz" meinst du?

Danke für die Erleuchtung im Voraus.

Gruß
Marc
Member: canlot
canlot Jul 14, 2021 at 11:31:26 (UTC)
Goto Top
mimikatz, das würde ich allerdings nicht auf meinen produktiven Servern installieren.
Member: radiogugu
radiogugu Jul 14, 2021 at 11:36:25 (UTC)
Goto Top
Zitat von @canlot:
mimikatz, das würde ich allerdings nicht auf meinen produktiven Servern installieren.

Das liest sich auch so.

Die meisten Zertifikate von Dritt-Zertifizierern sind ja eigentlich auch exportierbar. Die selbstsignierten wohl nicht, kann man aber mit der Powershell auch dahingehend umbiegen.

Gruß
Marc
Member: Th0mKa
Th0mKa Jul 16, 2021 at 20:35:05 (UTC)
Goto Top
Zitat von @radiogugu:
Die meisten Zertifikate von Dritt-Zertifizierern sind ja eigentlich auch exportierbar.

Nur wenn man es beim Import erlaubt, was man eigentlich nicht tun sollte. Aber bei Drittherstellern kann man die üblicherweise über das Herstellerportal neu ausstellen lassen.

/Thomas