Solución de problemas Errores comunes de SSL en Exchange 2007

"El certificado con huella digital ... fue encontrado pero no es válido para su uso con Exchange Server (razón: PrivateKeyMissing)."

Hay dos causas posibles de que somos conscientes de este mensaje de error. El primero es muy sencillo, si usted recibe este mensaje, de alguna manera su clave privada se ha perdido o borrado (o no instalado en el servidor en el primer lugar), y por lo tanto usted no puede utilizar los archivos de certificado en Exchange.

La segunda causa es menos obvia. A veces los administradores obtendrá este error, aun cuando toda la instalación de Exchange 2007 se ha realizado correctamente, y el archivo de clave privada de alguna manera se corrompe y se convierte en un archivo inutilizable por Exchange.

Por suerte, ambos son fáciles de resolver.

Información de Fondo

"El certificado SSL" es una manera fácil de hacer referencia a dos archivos distintos, pero relacionados y necesarios para hacer una conexión segura (a menudo combinado de alguna manera en su servidor, por ejemplo en un archivo .P12, .PFX o keystore "almacén de llaves" ) llamados public key "una clave pública" y a public key "una clave privada" y juntos conocidos como un keypair "par de llaves".

Cuando se genera una solicitud de firmado de certificado (CSR) esto de hecho la crea dos cosas distintas. Una clave privada, que se queda segura en el servidor, y una solicitud de firma de certificado (CSR), un archivo de datos que contiene información necesaria para que una Certificate Authority "Autoridad de Certificación" como DigiCert cree una clave pública (el certificado SSL firmado) que coincida con su clave privada, pero sin comprometer la clave privada propia de su servidor.

Al instalar los archivos de certificado en el servidor, es importante asegurarse de que están instaladas a la clave privada de la que su CSR se generó. En el caso de la mayoría de las instalaciones de SSL a aplicaciónes de Microsoft, sólo es posible hacerlo, y su servidor no le deja instalar un archivo de certificado sin que el servidor también tiene una clave privada que coincide.

Esencialmente, esto significa que si su clave privada se pierde o se corrompe, usted tendrá que empezar de nuevo, hacer un nuevo CSR, y vuelva a emitir su clave privada.

¿Qué Puede Hacer?

El volver a emitir su certificado a través de su cuenta DigiCert es en realidad bastante fácil y rápido, y casi siempre automatizados (sólo tiene que asegurarse de no cambiar el nombre común de la solicitud de certificado). Sólo tiene que acceder a su cuenta, haga clic en el número de orden, y luego hacer click en el enlace 'Re-Key Your Certificate' para volver a emitirlo.

Antes de que pueda volver a emitir el certificado, tendrá que Crear un nuevo CSR en su Servidor.

¿Qué Ocasiona Este Problema en Primer Lugar?

Esa pregunta es difícil de contestar en su caso exacto, pero por lejos la causa más común de este problema es que un administrador del servidor va a importar los archivos de certificado SSL .CRT/.CER/.P7B a través de MMC y no a través de IIS o la línea de comandos de Exchange donde la solicitud se ha generado en primer lugar.

Importar los archivos de certificados SSL a través de MMC no se los asocian a los archivos con su clave privada. Los certificados SSL sólo se pueden importar a través de MMC si antes la clave privada y el certificado eran correctamente instalado y después se exportó a una copia de seguridad de un archivo PFX.

Otra causa común es que un administrador correctamente importa sus certificados en un servidor, a continuación, copia de seguridad de los archivos de certificado a un PFX sin copia de seguridad de la clave privada. Si ese es el caso, aprender la manera correcta deExportar / Importar Archivos de Certificados SSL en Exchange.

Por último, si una nueva solicitud de certificado se genera en el servidor Exchange antes de que su certificado la primera se haya instalado, la clave privada para la solicitud inicial serán borrados automáticamente por el servidor.

¿Existen Otras Correcciones?

A veces hay una manera de solucionar su problema, posiblemente, aparte de volver a emitir el certificado. Sin embargo, esta solución es válida para la ocasión bastante raro cuando ninguna de las explicaciones anteriores se aplica a su problema, y el diagnóstico del problema no es particularmente rápido o más fácil que volver a emitir en el primer lugar.

Trate de ejecutar el comandocertutil-repairstore mi "NumeroDeSeriéDelCertificado"
Con comillas incluidas. Si la clave privada se ha corrompida de alguna manera, pero aún todavía existe en el servidor, esto comando puede reparar la clave privada y soluciona el problema.

Huella Digital... pero no es Válido para Utilizarlo con Exchange Server

Se encontró el certificado con huella digital... pero no es válido para utilizarlo con Exchange Server. (motivo: PrivateKeyMissing).

COMPRAR