Exchange Zertifikat Private Key "verlegt"? - Kein Problem

radiogugu
Goto Top
Hallo zusammen.

Wurde gerade von einem Kollegen angerufen, der verzweifelt nach dem Private Key eines vorhandenen SAN Zertifikats gesucht hatte. Dieser ist aber unauffindbar.

Daher eine kurze Hilfestellung, wenn das Szenario so aussieht, dass ein bereits konfigurierter Exchange Server mit aktivem Zertifikat vorliegt.


1. Zertifikat aus dem EAC oder der ManagementShell exportieren als .pfx Datei mit Kennwort

2. OpenSSL für Windows herunterladen, zum Beispiel von Sourceforge: https://sourceforge.net/projects/openssl/

3. OpenSSL.exe aus dem BIN Verzeichnis als Administrator ausführen und im sich öffnenden Fenster die Konfigurationsdatei mit dem folgenden Befehl bekanntgeben:


4.Mit dem folgenden Befehl wird das Zertifikat in einen angegebenen Ordner als TXT Datei exportiert:


5. Nun kann TXT Datei geöffnet und die beiden Segmente "Private Key" und "Certificate" separat in .key und .crt Dateien mittels Notepad gespeichert werden


Damit ist nun der Private Key des Zertifikats wieder da.

Eventuell hilft das jemandem, der vor ähnlicher Problematik steht.

Gruß
Marc

Content-Key: 992291484

Url: https://administrator.de/contentid/992291484

Ausgedruckt am: 28.06.2022 um 04:06 Uhr

Mitglied: canlot
canlot 13.07.2021 um 18:03:56 Uhr
Goto Top
Dafür muss das Zertifikat als "exportierbar" markiert sein.
Mitglied: SeaStorm
SeaStorm 13.07.2021 um 21:39:55 Uhr
Goto Top
und wenn es das nicht ist liest man es halt mit der Katz aus :) face-smile
Mitglied: radiogugu
radiogugu 14.07.2021 um 12:36:11 Uhr
Goto Top
Zitat von @SeaStorm:
und wenn es das nicht ist liest man es halt mit der Katz aus :) face-smile

Hi.

Stehe auf dem Schlauch, welche "Katz" meinst du?

Danke für die Erleuchtung im Voraus.

Gruß
Marc
Mitglied: canlot
canlot 14.07.2021 um 13:31:26 Uhr
Goto Top
mimikatz, das würde ich allerdings nicht auf meinen produktiven Servern installieren.
Mitglied: radiogugu
radiogugu 14.07.2021 um 13:36:25 Uhr
Goto Top
Zitat von @canlot:
mimikatz, das würde ich allerdings nicht auf meinen produktiven Servern installieren.

Das liest sich auch so.

Die meisten Zertifikate von Dritt-Zertifizierern sind ja eigentlich auch exportierbar. Die selbstsignierten wohl nicht, kann man aber mit der Powershell auch dahingehend umbiegen.

Gruß
Marc
Mitglied: Th0mKa
Th0mKa 16.07.2021 um 22:35:05 Uhr
Goto Top
Zitat von @radiogugu:
Die meisten Zertifikate von Dritt-Zertifizierern sind ja eigentlich auch exportierbar.

Nur wenn man es beim Import erlaubt, was man eigentlich nicht tun sollte. Aber bei Drittherstellern kann man die üblicherweise über das Herstellerportal neu ausstellen lassen.

/Thomas