none
Замена сертификата (EventID 12017, 12018) RRS feed

  • Вопрос

  • Собственно проблема точно такая же, как описана здесь.
    Выполнение всех тех же действий, создает еще один сертификат, а не заменяет существующий! (установлен Exchange 2007 без SP1)
    Созданные сертификаты потом удалял командой Remove-ExchangeCertificate.

    • Перемещено Hengzhe Li 12 марта 2012 г. 10:46 forum merge (От:Exchange Server 2007)

Все ответы

  • В этом случае нужно сертификат создать, импортировать и включить. А потом удалить старый.
    Т.е. New-ExchangeCertificate -GenerateRequest
    Затем выдаете сертификат в CA
    Потом Import-ExchangeCertificate -FileName
    И затем уже Enable-ExchangeCertificate -Thumbprint <значение отпечатка нового сертификата> -Services SMTP, POP, IIS, IMAP
    И только после этого удаляете старый


    http://okrylov.wordpress.com
    Модератор
  • Я хочу сделать самоподписывающийся сертификат.

    Могу я сделать так?

    Get-ExchangeCertificate -Thumbprint <значение отпечатка сертификата который надо заменить> | New-ExchangeCertificate
    Enable-ExchangeCertificate -Thumbprint <значение отпечатка нового сертификата> -Services SMTP, POP, IIS, IMAP
    Remove-ExchangeCertificate -Thumbprint <значение отпечатка сертификата который заменили>

    И как посмотреть какие службы используют данный сертификат?

  • В принципе да.
    http://okrylov.wordpress.com
    Модератор
  • А можно как то посмотреть службы использующие данный сертификат?
  • Сделал копию имеющегося сертификата, включил его. Ошибка продолжает появлятся, перед удалением старого сертификата хочу его экспортировать.

    [PS] C:\Documents and Settings\2007>Export-ExchangeCertificate -Thumbprint <сертификат> -Path c:\FF436.pfx -Password:(Get-Credetial).password

    cmdlet Get-Credential at command pipeline position 1
    Supply values for the following parameters:
    Credential

    Выводится окно в котором надо указать логин и пароль, что надо указывать??? Я так понял произвольные логин и пароль, но это не так.

    После неудачной попытки имеем:

    Export-ExchangeCertificate : Ошибка экспорта в формате PKCS-12: не удается получить доступ к закрытому ключу, либо этот ключ не экспортируется.
    Имя параметра: Thumbprint
    At line:1 char:27
    + Export-ExchangeCertificate  <<<< -Thumbprint <сертификат> -Path c:\FF436.pfx -Password:(Get-Credential).password

  • Экспорт закрытого ключа сохраняет его хеш в запароленном файле. Логин вводить не нужно, достаточно просто пароля. Но не понимаю, как это решает Вашу проблему? Вы создаете новый сертификат, он "просто появляется в списке". Так его надо включить на необходимые сервисы командой Enable-ExchangeCertificate, и в качестве определителя указать отпечаток. После этого появится возможность удалить старый.


    http://okrylov.wordpress.com
    Модератор
  • Вы создаете новый сертификат, он "просто появляется в списке".
    - сделал
    Так его надо включить на необходимые сервисы командой Enable-ExchangeCertificate,
    -сделал
    и в качестве определителя указать отпечаток.
    -что это значит?
    После этого появится возможность удалить старый.
    - просто перед его удалением я хочу его экспортировать, что если что то пойдет не так, была возможность его импортировать обратно.


    Логин вводить не нужно, достаточно просто пароля.
    - да я так вроде пробовал, говорит что надо ввести и логин, завтра попробую еще раз.

  • и в качестве определителя указать отпечаток.
    -что это значит?

    Это когда Вы определяете сертификат при помощи аргумента Thumbprint
    Enable-ExchangeCertificate -Thumbprint <Отпечаток>

    http://okrylov.wordpress.com
    Модератор
  • Это когда Вы определяете сертификат при помощи аргумента Thumbprint
    Enable-ExchangeCertificate -Thumbprint <Отпечаток>
    Понятно.
    Но все же перед удалением заканчивающегося сертификата, я на всякий случай хочу его экспортировать. После выполнения команды выскакивает окно: Windows PowerShell Credential Request
    Please enter your credentials.

    И что бы я там не вводил, результат всегда одинаков:
    Export-ExchangeCertificate : Ошибка экспорта в формате PKCS-12: не удается получить доступ к закрытому ключу, либо этот ключ не экспортируется.
    Имя параметра: Thumbprint
    At line:1 char:27
    + Export-ExchangeCertificate  <<<< -Thumbprint <сертификат> -Path c:\FF436.pfx -Password:(Get-Credential).password
  • И что бы я там не вводил, результат всегда одинаков:

    Export-ExchangeCertificate : Ошибка экспорта в формате PKCS-12: не удается получить доступ к закрытому ключу, либо этот ключ не экспортируется.
    Имя параметра: Thumbprint
    At line:1 char:27
    + Export-ExchangeCertificate  <<<< -Thumbprint <сертификат> -Path c:\FF436.pfx -Password:(Get-Credential).password

    При создании запроса сертификата с помощью команды New-ExchangeCertificate необходимо было использовать параметр PrivateKeyExportable - может использоваться для генерирования сертификата (и/или запроса) с экспортируемым частным ключом. Если не используется, частный ключ не будет экспортируемым. Добавление этого параметра и указание значения как True позволит вам экспортировать сертификат и импортировать его на другие серверы Exchange и/или ISA модули;

    Т.е. просто добавить в конце -PrivateKeyExportable:$True

    И еще обратить внимание на правильность написания пути сохранения экспортируемого сертификата.

    13 июня 2012 г. 23:25
  • С экспортом закрытого ключа вопрос спорный. Вам удасться выполнить эту операцию только в том случае, если разрешен этот самый экспорт в шаблоне, из которого был выдан сертификат.

    Та ситуация, что возникла у топикстартера решается просто (окно с запросом учетных данных будет обязательно выскакивать, если экспортируется закрытый ключ, но это не учетные данные, это всего лишь пароль на контейнер .pfx в который сохранится сертификат и соответствующий ему закрытый ключ) нужно оставить пустым поле Username и ввести любой пароль (хоть 1234, но лучше придерживаться рекомендаций по использованию безопасных паролей).

    Думаю, что топикстартер за 3 года, прошедшие с момента возникновения проблемы, благополучно эту самую проблему решил :)


    MVP Exchange Server from Russia. Please sorry for my English, it's not my native language.

    14 июня 2012 г. 9:58
    Модератор