rakli 13 Geschrieben 6. September 2012 Melden Teilen Geschrieben 6. September 2012 Hallo, ein Exchange 2007 soll neue Zertifikate erhalten, zuvor will ich die alten exportieren. Das funktioniert bis auf ein Zertifikat: [PS] C:\Zertifikate>Export-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXX -BinaryEncoded:$t ue -path C:\Zertifikate\ed -Password:(Get-Credential).password Cmdlet Get-Credential an der Befehlspipelineposition 1 Geben Sie Werte für die folgenden Parameter an: Credential Export-ExchangeCertificate : Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert we rden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann. Parametername: Thumbprint Bei Zeile:1 Zeichen:27 + Export-ExchangeCertificate <<<< -Thumbprint XXXXXXXXXXXXXXXXX -BinaryEncoded:$true -path C: \Zertifikate\ed -Password:(Get-Credential).password + CategoryInfo : InvalidArgument: (:) [Export-ExchangeCertificate], ArgumentException + FullyQualifiedErrorId : 778C588B,Microsoft.Exchange.Management.SystemConfigurationTasks.ExportExchangeCertificate Das Zertifikat sieht so aus: AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc essRule} CertificateDomains : {server.domain.ag, server.ag, server.localdomain.local} HasPrivateKey : True IsSelfSigned : True Issuer : CN=server.domain.ag NotAfter : 18.07.2012 15:32:09 NotBefore : 18.07.2011 15:32:09 PublicKeySize : 2048 RootCAType : Unknown SerialNumber : 123456789 Services : IIS, SMTP Status : Invalid Subject : CN=server.domain.ag Thumbprint : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Was ist mein Fehler? Rakli Zitieren Link zu diesem Kommentar
rakli 13 Geschrieben 6. September 2012 Autor Melden Teilen Geschrieben 6. September 2012 Nachtrag, wie kann man alle Zertifikate mit einem Befehl sichern? Rakli Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 6. September 2012 Melden Teilen Geschrieben 6. September 2012 Moin, Was ist mein Fehler? Da ist keine. Da das ein Selfsigned ist, ist er vermutlich so erstellt worden, dass man den privaten Schlüssel nicht exportieren kann. Außerdem ist es eh abgelaufen und damit wertlos und muss auch nicht exportiert werden. Nachtrag, wie kann man alle Zertifikate mit einem Befehl sichern? Ungetestet: get-exchangecertificate | export-exchangecertificate ..... Zitieren Link zu diesem Kommentar
rakli 13 Geschrieben 6. September 2012 Autor Melden Teilen Geschrieben 6. September 2012 Hallo Robert, Da ist keine. Da das ein Selfsigned ist, ist er vermutlich so erstellt worden, dass man den privaten Schlüssel nicht exportieren kann. Wie erstelle ich ein Zertifikat, das man nicht exportieren kann und was wäre der Sinn? Man muss doch Zertifikate sichern könne? Rakli Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 6. September 2012 Melden Teilen Geschrieben 6. September 2012 Moin, wenn Du ein Zertifikat erstellst, bietet entweder das Werkzeug (bei Exchange "New-ExchangeCertificate" mit "-PrivateKeyExportable $false") oder später die unterschreibende CA die Möglichkeit, den Export des privaten Schlüssels zu verbieten. Das ist eine Sicherheitsfunktion. Deine Sicherung könnte "abhanden" kommen und jemand anders damit erfolgreich einen identischen Server aufbauen. Bei Systemen mit hoher Sicherung verhindert man mit dem Verbot eine Kompromittierung und im Falles eines Problemes muss halt ein neues Zertifikat erstellt werden. Zitieren Link zu diesem Kommentar
rakli 13 Geschrieben 7. September 2012 Autor Melden Teilen Geschrieben 7. September 2012 Danke Rakli Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.