关羽第三方证书导入的CASE

问题描述：公司邮件系统Exchange2010的外网VerSign证书服务到期，用Import-ExchangeCertificate cmdlet 导入 Exchange 的第三方证书时，显示“无法导入源数据或指定了错误的密码”错误的信息，并且在MMC上显示导入的证书没有私钥，EMC上不显示证书。

问题排查：通过命令Import-ExchangeCertificate导入证书不成功，并且尝试Get-ExchangeCertificate cmdlet 时出现类似“The certificate thumbprint <thumbprint> was found but is not valid for use with Exchange server. (reason: PrivateKeyMissing)”的错误。最后怀疑可能是证书私钥存在问题。

问题解决：通过微软网站发现有类似的帮助，使用命令certutil -repairstore 命令来更正私钥问题，具体解决步骤见下

使用 certutil -repairstore 命令修复私钥问题的步骤
1.打开 Microsoft 管理控制台，并添加证书管理单元，方法是依次单击“开始”、“运行”、mmc.exe

2.双击个人文件夹中已导入的证书。

3.单击“详细信息”选项卡。

4.在“字段”列中单击“序列号”，突出显示此序列号，然后记下它。

5.打开命令提示符。

6.类型：certutil -repairstore my "SerialNumber"（SerialNumber 是您在步骤 4 中记下的序列号。）

7.在证书管理单元中，右键单击“证书”，然后单击“刷新”。现在，证书具有了相关联的私钥。

8.要验证问题是否得到解决，请运行 Get-ExchangeCertificate cmdlet，应该立即显示正确的证书。

问题最终解决。

 

备注（相关命令）：

1、Exchange 命令行管理程序命令：

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\cer.p7b -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services IIS,POP,IMAP

或

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\cer.pfx -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services 'IMAP, POP, IIS'

或

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\cer.pfx -Encoding byte -ReadCount 0))

Enable-ExchangeCertificate -Server 'EXCAS03' -Services 'IMAP, POP, IIS' -Thumbprint '4C3F611D5C6A240F74ACBB6A4BE6352FF6CE37A6'

 

2、CMD下命令：

certutil -repairstore my "‎45 a1 a6 ef 01 49 43 ec 3b 7a e5 9e 71 2d a2 3c"