Export Exchange Zertifikat mit privatem Schlüssel

[Dabinam 1]

Hallo,

ich habe ein neues Exchange Zertifikat für unseren Exchange Server 2019 von der PSW-Group erhalten.

Ich habe das Zertifikat (certificate.crt) nun unter im Computerkonto unter "Eigene Zertifikate" importiert und wollte es mit dem Privaten Schlüssel für eine Sophos UTM exportieren, doch leider wird beim Export der private Schlüssel nicht mit angeboten. 

 

Der Befehl 

certutil –repairstore my „Seriennummer des Zertifikats“ 

hat folgen  Output gehabt:

Seriennummer: XXXXXXXXXXXXXXXXX
Aussteller: CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
 Nicht vor: 10.06.2023 01:00
 Nicht nach: 11.07.2024 03:00
Antragsteller: CN=Name_des_Exchangeservers
Kein Stammzertifikat
Zertifikathash(sha1): XXXXXXXXXXXXXXXXX
  Schlüsselcontainer = XXXXXXXXXXXXXXXXX
  Eindeutiger Containername: XXXXXXXXXXXXXXXXX
  Anbieter = Microsoft Enhanced Cryptographic Provider v1.0
Der private Schlüssel ist NICHT exportierbar
Verschlüsselungstest wurde durchgeführt
CertUtil: -repairstore-Befehl wurde erfolgreich ausgeführt.

 

Kann mir jemand sagen, wie ich einen Export des Zertifikats mit privatem Schlüssel hinbekomme.

 

[mikro 58]

Moin,

dann hast Du beim erstellen im Request nicht angegeben das der Prive Key exporteierbar sein darf.

Ich denke das musst Du nochmal requesten.

Gruß mikro

 

[NorbertFe 1.809]

Nicht unbedingt. ICh hatte das neulich auch auf dem Exchange und den alten Key konnte ich sehr wohl exportieren. Ich hab mir dann den private Key des alten Zertifikats mal als PFX auf einen anderen Server gezogen und dort per certutil das neue "repariert" und siehe da, man konnte das neue mit Key exportieren.

[NilsK 2.786]

Moin,

 

das Flag "nicht exportierbar" ist nur ein Versteckspiel. Die Windows-MMC hält sich daran, das müsste sie aber nicht tun. Es gibt Clients, mit denen man den Key trotzdem exportieren kann. Ist auch kein Wunder, denn um ihn nutzen zu können, muss man ihn ja lesen, und das ist bei Computern gleichbedeutend mit Kopieren.

 

Gruß, Nils

PS. nein, ich kann keinen Client nennen, mangels Bedarf. Kann aber keine riesige Hürde sein.

 

[NorbertFe 1.809]

Ist auch keine Hürde, aber offenbar strengt sich MS immer mal wieder an, denn das Tool funktionierte früher problemlos, inzwischen hab ichs kaum noch in Gebrauch, aber ich geh auch davon aus, dass das keine unlösbare Hürde sein dürfte. Aber wie gesagt, ob den Fehler hatte ich erst in der vergangenen Woche, und solange man den private Key mit dem alten Zert noch exportieren kann, gibts ja auch keinen Bedarf für wirkliche Verrenkungen.

[Nobbyaushb 1.362]

Zur Not hilft unter anderem das Tool von Digicert

https://www.digicert.com/support/tools/certificate-utility-for-windows

 

[Dabinam 1]

Das komische ist, dass sich das alte Zertifikat auch nicht mit privatem Schlüssel exportieren lässt. Ich habe den Exchange Server anfang des Jahres von 2013 auf 2019 migriert und das bestehende Zertifikat natürlich "mitgenommen". Auf dem 2013er ließ es sich auch damals für unsere Sophos UTM mit privatem Key exportieren.

Das Tool von Digicert hat nichts gebracht, habe jetzt  aber mit diesem Tool GitHub - iSECPartners/jailbreak: Jailbreak in unserer Testumgebung Erfolg gehabt. 

 

 

 

 

[NorbertFe 1.809]

Gerade eben schrieb Dabinam:

unserer Testumgebung Erfolg gehabt. 

 jupp, das meinte ich oben.