Exchange Server - Erneuertes Zertifikat einbinden

Moin,

ich musste auf unserem Exchange 2019 mal wieder das Frontend-Zertifikat erneuern. Wir bekommen über einen externen Anbieter vor Ablauf des alten Zertifikats ein erneuertes. Wenn ich jetzt versuche, das einzubinden, schlägt dies jedoch fehl (s.u.).

$ImportCert = Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Neues-Zert-2024.cer -Encoding byte -ReadCount 0))

Enable-ExchangeCertificate -Thumbprint $ImportCert.Thumbprint -Services POP,IMAP,SMTP,IIS

Ein spezieller RPC-Fehler ist auf Server EXCHANGE aufgetreten: Das Zertifikat mit dem Fingerabdruck '8960FD914AB41E1F4F938A6F059644FB5FA14AEC' wurde gefunden, ist jedoch für die Verwendung mit  
Exchange Server nicht gültig (Begründung: PrivateKeyMissing).
    + CategoryInfo          : NotSpecified: (:) [Enable-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=EXCHANGE,RequestId=6de25738-2694-46f3-9044-ac65630a67bc,TimeStamp=22.04.2024 09:36:27] [FailureCategory=Cmdlet-InvalidOperationException] 9571B9B6,Microsoft.Ex
   change.Management.SystemConfigurationTasks.EnableExchangeCertificate
    + PSComputerName        : mailserver.domaene.de

Verstehe ich nicht ganz, der private Schlüssel liegt doch im IIS, nachdem ich den Zertifikatsrequest erzeugt habe?
Und wenn das Zertifikat vom Anbieter jetzt einfach erneuert wurde, hat sich doch daran nix geändert? Oder habe ich da einen Denkfehler?

Letztlich ist es natürlich kein Problem, einen neuen Request zu erstellen und den einzureichen, würde das aber gern verstehen.

Gruß

Please also mark the comments that contributed to the solution of the article

Content-Key: 9508306513

Url: https://administrator.de/contentid/9508306513

Printed on: May 3, 2024 at 19:05 o'clock

4 Comments

Latest comment

Hallo.
Normal, Import-ExchangeCertificate akzeptiert nur Zertifikats-Container (PFX/P12) inkl. Private Key
https://learn.microsoft.com/en-us/powershell/module/exchange/import-exch ...

You can use the Import-ExchangeCertificate cmdlet to import the following types of certificate files on an Exchange server:

APKCS #7 certificate or chain of certificates file (.p7b or .p7c) that was issued by a certification authority (CA). PKCS #7 is the Cryptographic Message Syntax Standard, a syntax used for digitally signing or encrypting data using public key cryptography, including certificates. For more information, see PKCS #7 Cryptographic Messaging Syntax Concepts.
A PKCS #12 certificate file (.cer, .crt, .der, .p12, or .pfx) that contains the private key. PKCS #12 is the Personal Information Exchange Syntax Standard, a file format used to store certificates with corresponding private keys that are protected by a password. For more information, see PKCS #12: Personal Information Exchange Syntax v1.1.

Private Key aus dem Store exportieren und mit Public Key und OpenSSL zu einem PFX/P12 kombinieren.

openssl pkcs12 -export -in public.pem -inkey private.key -out cert.pfx

Gruß schrick

Moin...
der Import wäre in deinem fall so....

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\Install\certifikat.p12 -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string 123456 -asplaintext -force)

ja, hast du

Frank