IIS - Vorhandenen privaten Schlüssel einem neuen Zertifikat zuweisen

In einigen Fällen können Administratoren eine neue CSR erstellen, aber ein "altes" Zertifikat installieren, während sie auf das neue Zertifikat warten. Eine unglückliche Folge dieser Aktion ist, dass die Verbindung zwischen IIS und dem Speicherort des privaten Schlüssels unterbrochen wird. Dies wird dann zu einem Problem, wenn ein Benutzer später versucht, das neue Zertifikat zu importieren, da der Zertifikatsassistent eine Fehlermeldung anzeigt, die besagt, daß er den privaten Schlüssel nicht finden kann.

Hinweis: Verwenden Sie dieses Anleitung zum Ersetzen eines EV-Zertifikats (Extended Validation) in IIS.

Lösung

Zunächst müssen alle ausstehenden Anforderungen, die noch offen sind, entfernt werden. Anschließend kann das neue Zertifikat manuell in den Zertifikatspeicher des lokalen Computers importiert werden. Anschließend kann das Zertifikat mithilfe von CertUtil.exe erneut mit dem privaten Schlüssel verbunden werden.

Ausstehende Anfragen entfernen (nur IIS6)

  1. Melden Sie sich mit einem Administratorkonto bei dem Server an, der das CSR enthält.
  2. Entfernen Sie alle ausstehenden Anforderungen, die noch in IIS geöffnet sind:
    1. Öffnen Sie den IIS Manager.
    2. Klicken Sie mit der rechten Maustaste auf die entsprechende Website und wählen Sie Eigenschaften.
    3. Klicken Sie auf der Registerkarte Verzeichnissicherheit auf Serverzertifikat... und folgen Sie die Anweisungen.

Öffnen Sie den Zertifikatspeicher des lokalen Computers

  1. Klicken Sie auf StartAusführen, geben Sie mmc ein und wählen Sie OKIIS - Vorhandenen privaten Schlüssel einem neuen Zertifikat zuweisen
  2. Gehen Sie zum Menü Datei und wählen Sie Snap-In hinzufügen/entfernen.IIS - Vorhandenen privaten Schlüssel einem neuen Zertifikat zuweisen
  3. Wählen Sie im Feld Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus und klicken Sie auf HinzufügenIIS - Vorhandenen privaten Schlüssel einem neuen Zertifikat zuweisen
  4. Wählen Sie Computerkonto und klicken Sie auf Weiter
  5. Wählen Sie Lokaler Computer und klicken Sie auf Fertig.
    IIS - Vorhandenen privaten Schlüssel einem neuen Zertifikat zuweisen
  6. Schließen Sie das Feld Standalone-Snap-In hinzufügen, indem Sie auf OK klicken und zum mmc zurückkehren.

Installation des neuen Zertifikats

  1. Erweitern Sie Zertifikate im Zertifikate Snap-In Dialogfenster . Klicken Sie mit der rechten Maustaste auf Persönlicher Ordner, gehen Sie zu Alle Aufgaben und klicken Sie auf Importieren.
  2. Klicken auf Weiter im Assistenten Willkommen beim Zertifikatsimport-Assistenten.
  3. Wählen Sie Durchsuchen... auf der Seite Zu importierende Datei.
  4. Navigieren Sie zu dem neuen Zertifikat, wählen Sie es aus und klicken Sie auf Öffnen. Klicken Sie danach auf Weiter.
  5. Klicken Sie auf der Seite Zertifikatsspeicher auf Alle Zertifikate in den folgenden Speicher ablegen und klicken Sie auf Durchsuchen.
  6. Wählen Sie den persönlichen Zertifikatsspeicher im Fenster Zertifikatsspeicher auswählen und klicken Sie auf OK.
  7. Klicken Sie auf Weiter und dann auf Fertigstellen, um den Importvorgang abzuschließen.

Verbinden des neuen Zertifikats mit dem privaten Schlüssel

  1. Doppelklicken Sie im Zertifikats-Snap-In auf das importierte Zertifikat, das sich im Ordner Persönlich befindet.
  2. Wählen Sie im Dialogfeld Zertifikat die Registerkarte Details.
  3. Klicken Sie in der Spalte Feld der Registerkarte Details auf Seriennummer und notieren Sie sich die Seriennummer.
  4. Klicken Sie auf StartAusführen, geben Sie cmd ein und klicken Sie auf OK. Eine Eingabeaufforderung wird geöffnet.
  5. Geben Sie die folgende Zeile in die Eingabeaufforderung ein:
    certutil -repairstore my "serialnumber"
    Hinweis: Ersetzen Sie serialnumber durch die in Schritt 3 notierte Seriennummer.
  6. Klicken Sie im Fenster Zertifikats-Snap-In mit der rechten Maustaste auf Zertifikate und wählen Sie Aktualisieren. Das Zertifikat sollte jetzt einen entsprechenden privaten Schlüssel haben. Sie können dies überprüfen, indem Sie auf das Zertifikat doppelklicken. Die folgende Meldung sollte unten angezeigt werden: Sie haben einen privaten Schlüssel, der diesem Zertifikat entspricht.
  7. Das Zertifikat hat jetzt einen entsprechenden privaten Schlüssel. Der IIS-Manager kann verwendet werden, um der Website das erneut verbundene Schlüsselpaar (Zertifikat) zuzuweisen.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up