Não é possível importar o certificado para o Exchange 2013: Chave privada ausente (eu sei que está lá.)

1

Eu sei que esta pergunta foi feita antes e eu passei por inúmeros tópicos aqui (assim como no google) tentando todos eles. Infelizmente, acho que estou tendo um problema não relacionado ao que os outros tiveram.

Eu tenho um arquivo CRT e KEY no nosso servidor do CentOS. Está funcionando bem. Queremos usá-lo em nosso servidor Windows 2008 R2 Standard para o Exchange 2013.

Eu verifiquei minhas verificações de arquivo de chaves:

# openssl rsa -text -in mydomain.key
Private-Key: (4096 bit)

Eu tentei convertê-lo em um PFX:

# openssl pkcs12 -export -out mydomain.pfx -inkey mydomain.key -in mydomain.crt

Após a conversão, posso até testar o arquivo PFX para garantir que ele contenha uma chave privada:

# openssl pkcs12 -in exchange.pfx  -nodes
Enter Import Password:
MAC verified OK
Bag Attributes
    localKeyID: 63 04 21 C5 D8 02 0E E2 A9 A7 6E E4 CD 90 66 1E 27 95 8F 0D 
    friendlyName: My Company SSL
subject=/OU=Domain Control Validated/CN=*.mydomain.tld
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
-----BEGIN CERTIFICATE-----
(Redacted, obviously.)
-----END CERTIFICATE-----
Bag Attributes
    localKeyID: 63 04 21 C5 D8 02 0E E2 A9 A7 6E E4 CD 90 66 1E 27 95 8F 0D 
    friendlyName: My Company SSL
Key Attributes: <No Attributes>
-----BEGIN PRIVATE KEY-----
(Redacted, obviously.)
-----END PRIVATE KEY-----

O Exchange permite-me importá-lo, mas nunca aparece no ECP. Quando tento remover a chave por meio do Console do Exchange, este é o erro que recebo:

[PS] C:\Windows\system32>remove-exchangecertificate

cmdlet Remove-ExchangeCertificate at command pipeline position 1
Supply values for the following parameters:
Thumbprint: 630421C5D8020EE2A9A76EE4CD90661E27958F0D

Confirm
Are you sure you want to perform this action?
Remove certificate with thumbprint 630421C5D8020EE2A9A76EE4CD90661E27958F0D from the computer's certificate store?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): Y
A special Rpc error occurs on server TWEXCHANGE: The certificate with thumbprint
630421C5D8020EE2A9A76EE4CD90661E27958F0D was found but is not valid for use with Exchange Server (reason:
PrivateKeyMissing).
    + CategoryInfo          : NotSpecified: (:) [Remove-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=TWEXCHANGE,RequestId=75aa9cfb-6db4-4c0d-aae3-5eaa32eb0389,TimeStamp=3/25/2015 9:
   24:49 PM] [FailureCategory=Cmdlet-InvalidOperationException] DE2A4BCA,Microsoft.Exchange.Management.SystemConfigur
  ationTasks.RemoveExchangeCertificate
    + PSComputerName        : twexchange.mydomain.com

A única maneira de removê-lo é abrir o MMC, adicionar o snap-in de certificado e conectar-se a certificados de computador. Eu posso pesquisar pela impressão digital SHA1 e excluí-la. (Se eu não excluir, quando tentar importá-lo novamente, recebo um erro informando que a impressão digital já existe.)

Eu também tentei converter minha chave PEM / arquivo crt para DER e importar dessa maneira:

# openssl x509 -outform der -in mydomain.pem -out mydomain.cer

Eu tenho exatamente os mesmos resultados no Exchange 2013, ele o importa silenciosamente, não o exibe no ECP e quando eu o verifico no MMC: ele não tem a chave privada. Qualquer ajuda neste momento seria apreciada.

    
por James Watt 25.03.2015 / 23:13

2 respostas

1

Às vezes, a importação de certificados via Exchange (ECP ou EMS) simplesmente não funciona; Se você tiver certeza de que seu certificado está correto, tente importá-lo por meio do snap-in "Certificados" do MMC; Certifique-se de importar o certificado no armazenamento "Pessoal" do computador (não o usuário).

Após o certificado ser importado, o Exchange o reconhecerá e você poderá habilitá-lo para os serviços do Exchange.

    
por 26.03.2015 / 08:33
0

Eu não sei qual é a solução para conseguir isso para importar através do Exchange, mas Massimo encontrou um trabalho por aí. Se o PFX for importado por meio do MMC > Certificados > Computador, ele me permitiu adicioná-lo através do Console do Exchange.

    
por 26.03.2015 / 02:01