web-dev-qa-db-ja.com

Exchange 2013に証明書をインポートできません:秘密鍵がありません(そこにあることはわかっています)。

私はこの質問が以前に尋ねられたことを知っています、そして私はそれらすべてを試しているここ(そしてグーグル)で無数のスレッドを通り抜けました。残念ながら、私は他の人が抱えていたものとは無関係の問題を抱えていると思います。

CentOSWebサーバーにCRTファイルとKEYファイルがあります。正常に動作しています。 Exchange2013用のWindows2008 R2Standardサーバーで使用したいと考えています。

キーファイルのチェックアウトを確認しました。

# openssl rsa -text -in mydomain.key
Private-Key: (4096 bit)

私はそれをPFXに変換しようとしました:

# openssl pkcs12 -export -out mydomain.pfx -inkey mydomain.key -in mydomain.crt

変換後、PFXファイルをテストして、秘密鍵が含まれていることを確認することもできます。

# openssl pkcs12 -in exchange.pfx  -nodes
Enter Import Password:
MAC verified OK
Bag Attributes
    localKeyID: 63 04 21 C5 D8 02 0E E2 A9 A7 6E E4 CD 90 66 1E 27 95 8F 0D 
    friendlyName: My Company SSL
subject=/OU=Domain Control Validated/CN=*.mydomain.tld
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
-----BEGIN CERTIFICATE-----
(Redacted, obviously.)
-----END CERTIFICATE-----
Bag Attributes
    localKeyID: 63 04 21 C5 D8 02 0E E2 A9 A7 6E E4 CD 90 66 1E 27 95 8F 0D 
    friendlyName: My Company SSL
Key Attributes: <No Attributes>
-----BEGIN PRIVATE KEY-----
(Redacted, obviously.)
-----END PRIVATE KEY-----

Exchangeではインポートできますが、ECPに表示されません。 Exchangeコンソールからキーを削除しようとすると、次のエラーが発生します。

[PS] C:\Windows\system32>remove-exchangecertificate

cmdlet Remove-ExchangeCertificate at command pipeline position 1
Supply values for the following parameters:
Thumbprint: 630421C5D8020EE2A9A76EE4CD90661E27958F0D

Confirm
Are you sure you want to perform this action?
Remove certificate with thumbprint 630421C5D8020EE2A9A76EE4CD90661E27958F0D from the computer's certificate store?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): Y
A special Rpc error occurs on server TWEXCHANGE: The certificate with thumbprint
630421C5D8020EE2A9A76EE4CD90661E27958F0D was found but is not valid for use with Exchange Server (reason:
PrivateKeyMissing).
    + CategoryInfo          : NotSpecified: (:) [Remove-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=TWEXCHANGE,RequestId=75aa9cfb-6db4-4c0d-aae3-5eaa32eb0389,TimeStamp=3/25/2015 9:
   24:49 PM] [FailureCategory=Cmdlet-InvalidOperationException] DE2A4BCA,Microsoft.Exchange.Management.SystemConfigur
  ationTasks.RemoveExchangeCertificate
    + PSComputerName        : twexchange.mydomain.com

それを削除する唯一の方法は、MMCを開き、証明書スナップインを追加して、コンピューター証明書に接続することです。 SHA1拇印で検索して削除できます。 (削除しない場合、再度インポートしようとすると、拇印が既に存在するというエラーが表示されます。)

また、PEMキー/ crtファイルをDERに変換し、その方法でインポートしようとしました。

# openssl x509 -outform der -in mydomain.pem -out mydomain.cer

Exchange 2013でもまったく同じ結果が得られます。サイレントにインポートされ、ECPに表示されず、MMCで確認すると、秘密鍵がありません。この時点での助けをいただければ幸いです。

windows-server-2008-r2exchangessl-certificateopensslexchange-2013
1
James Watt

Exchange(ECPまたはEMS)を介した証明書のインポートが機能しない場合があります。証明書に問題がないことが確実な場合は、MMC "Certificates"スナップイン]を使用してインポートしてみてください。証明書は、ユーザーではなく、コンピューターの "Personal"スト​​アにインポートしてください。 )。

証明書がインポートされると、Exchangeはそれを認識し、Exchangeサービスに対して証明書を有効にできるようになります。

1
Massimo

これをExchange経由でインポートするための解決策はわかりませんが、Massimoは回避策を見つけました。 PFXがMMC>証明書>コンピューターを介してインポートされた場合、Exchangeコンソールを介して追加できました。

0
James Watt