rakli 13 Geschrieben 6. September 2012 Melden Geschrieben 6. September 2012 Hallo, ein Exchange 2007 soll neue Zertifikate erhalten, zuvor will ich die alten exportieren. Das funktioniert bis auf ein Zertifikat: [PS] C:\Zertifikate>Export-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXX -BinaryEncoded:$t ue -path C:\Zertifikate\ed -Password:(Get-Credential).password Cmdlet Get-Credential an der Befehlspipelineposition 1 Geben Sie Werte für die folgenden Parameter an: Credential Export-ExchangeCertificate : Der Zugriff auf den privaten Schlüssel ist nicht möglich, oder er kann nicht exportiert we rden, weshalb das Zertifikat nicht als PKCS-12 exportiert werden kann. Parametername: Thumbprint Bei Zeile:1 Zeichen:27 + Export-ExchangeCertificate <<<< -Thumbprint XXXXXXXXXXXXXXXXX -BinaryEncoded:$true -path C: \Zertifikate\ed -Password:(Get-Credential).password + CategoryInfo : InvalidArgument: (:) [Export-ExchangeCertificate], ArgumentException + FullyQualifiedErrorId : 778C588B,Microsoft.Exchange.Management.SystemConfigurationTasks.ExportExchangeCertificate Das Zertifikat sieht so aus: AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc essRule} CertificateDomains : {server.domain.ag, server.ag, server.localdomain.local} HasPrivateKey : True IsSelfSigned : True Issuer : CN=server.domain.ag NotAfter : 18.07.2012 15:32:09 NotBefore : 18.07.2011 15:32:09 PublicKeySize : 2048 RootCAType : Unknown SerialNumber : 123456789 Services : IIS, SMTP Status : Invalid Subject : CN=server.domain.ag Thumbprint : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Was ist mein Fehler? Rakli
rakli 13 Geschrieben 6. September 2012 Autor Melden Geschrieben 6. September 2012 Nachtrag, wie kann man alle Zertifikate mit einem Befehl sichern? Rakli
RobertWi 81 Geschrieben 6. September 2012 Melden Geschrieben 6. September 2012 Moin, Was ist mein Fehler? Da ist keine. Da das ein Selfsigned ist, ist er vermutlich so erstellt worden, dass man den privaten Schlüssel nicht exportieren kann. Außerdem ist es eh abgelaufen und damit wertlos und muss auch nicht exportiert werden. Nachtrag, wie kann man alle Zertifikate mit einem Befehl sichern? Ungetestet: get-exchangecertificate | export-exchangecertificate .....
rakli 13 Geschrieben 6. September 2012 Autor Melden Geschrieben 6. September 2012 Hallo Robert, Da ist keine. Da das ein Selfsigned ist, ist er vermutlich so erstellt worden, dass man den privaten Schlüssel nicht exportieren kann. Wie erstelle ich ein Zertifikat, das man nicht exportieren kann und was wäre der Sinn? Man muss doch Zertifikate sichern könne? Rakli
RobertWi 81 Geschrieben 6. September 2012 Melden Geschrieben 6. September 2012 Moin, wenn Du ein Zertifikat erstellst, bietet entweder das Werkzeug (bei Exchange "New-ExchangeCertificate" mit "-PrivateKeyExportable $false") oder später die unterschreibende CA die Möglichkeit, den Export des privaten Schlüssels zu verbieten. Das ist eine Sicherheitsfunktion. Deine Sicherung könnte "abhanden" kommen und jemand anders damit erfolgreich einen identischen Server aufbauen. Bei Systemen mit hoher Sicherung verhindert man mit dem Verbot eine Kompromittierung und im Falles eines Problemes muss halt ein neues Zertifikat erstellt werden.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden