Hallo Miteinander,
Ich steh mal wieder etwas auf dem Schlauch und finde nicht heraus wie ich etwas machen muss.
Ich bin gerade dabei unsere Testumgebung für Exchange 2010 vorzubereiten - dafür brauche ich einen neuen SAN-Namen im Zertifikat. Bei unserem Zertifikatsprovider konnte ich das neue Zertifikat auch problemlos beantragen und habe nun eine neue .crt Datei für denselben Private Key aber mit neuem SAN-Namen.
Also hab ich mal naiv probiert dieses .crt File mit Import-ExchangeCertificate zu importieren, was auch geklappt hat. Aber das anschliessende aktivieren mit Enable-ExchangeCertificate klappt nicht.
Enable-ExchangeCertificate : The certificate with thumbprint 1234 was found but is
not valid for use with Exchange Server (reason: PrivateKeyMissing).
|
Okay, also flugs im certmgr.msc angeschaut. Das alte Zertifikat ist drinnen und hat auch einen kleinen Schlüssel der anzeigt das ein Private Key vorhanden ist. Beim neuen Zertifikat wird aber nicht angezeigt das ein Private Key vorhanden ist - anscheinend muss ich Windows noch irgendwie mitteilen das die Zertifikate zusammengehören.
Was ich gefunden habe ist die Option "Renew this certificate with the same key", aber dort wird gemeckert das "The request contains no certificate template information", eine Fehlermeldung die darauf hindeuted das die Funktionalität für Windows-Online CAs gedacht ist und nicht für Third-Party CAs.
Nun, ich hab jetzt zwei Lösungsansätze aber die find ich beide nicht so elegant - das Zertifikat Rekeyen, und dann das neue Zertifikat benutzen.
Oder mittels OpenSSL in einem exportieren PFX das Zertifikat ersetzen und das PFX-File wieder importieren.
Kurzfassung: Wie ersetze ich ein Zertifikat, sodass der alte Private Key weiterverwendet werden kann?
WS08/EX07 Zertifikat für neue SAN-Namen updaten ohne Rekey
