Foutmelding - Kan private key niet exporteren

Probleem

Wanneer er wordt geprobeerd om een backup te maken van de Private Key en het certificaat, is de optie om de Private Key te exporteren grijs, of wordt het scherm met deze optie zelfs helemaal niet weergegeven in de Wizard.

Oorzaak

Er zijn een aantal mogelijke aanleidingen: of de rechten op de map met de certificaatbestanden staan verkeerd ingesteld, of de Private Key is niet gemarkeerd als exporteerbaar tijdens het importeren vanaf een andere server (een optie dat verschijnt tijdens het importeren).

Onvoldoende rechten op de certificaatbestanden

Dit komt doordat de Systeem en Administrator gebruikers of groep onvoldoende rechten hebben op de folder %SystemDrive%\Documents and Settings\All Users\Application Data\Microsoft\Crypto . Om dit te herstellen moeten eerst deze verborgen bestanden zichtbaar worden gemaakt met de optie "Display hidden files and folders" worden aangevinkt in Windows. Vervolgens moeten de rechten worden aangepast.

"Display hidden files and folders" aanvinken

1. Klik op Start, navigeer naar Settings en klik daarna op Control Panel.
2. Klik op Appearance and Themes en dan op Folder Options.
3. Zet een vinkje naast Show hidden files and folders aan op de View tab onder het gedeelte Hidden Files and Folders.

Rechten key containers goed zetten

1. Open Windows Explorer.
2. Zoek de map %SystemDrive%\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys .
3. In deze folder zitten verschillende bestanden. Elk bestand correspondeert met een key container. Probeer elk bestand te openen met Kladblok.
4. Indien er een Toegang geweigerd foutmelding verschijnt bij het openen van een bestand, rechtsklik erop en kies Eigenschappen, en stel de rechten zodanig in de accounts van de Administrators-groep volledige toegang hebben.
   NB: de System-gebruiker moet ook alle rechten hebben tot deze bestanden.

Nieuwe Private Key aanmaken

Indien het probleem niet is opgelost door het aanpassen van de rechten, is de enige optie om via een tijdelijke website een nieuwe Private Key aan te maken, op ons Control Panel in te loggen en via onze website een heruitgifte aan te vragen. Wij geven dan een nieuw certificaat uit met de bestaande gegevens, dit is verder kosteloos.

Aanmaken tijdelijke website onder IIS

1. Ga naar menu Start  Administrative Tools en klik op Internet Information Services (IIS) Manager.
2. Open de server in de boom links en rechtsklik op Web Sites.
3. Ga in het contextmenu naar New en klik op Web site... . De Web Site Creation Wizard wordt opgestart. Klik op Next.
4. Geef een omschrijving van de website op (bijvoorbeeld Tijdelijk) en klik op Next.
5. Laat de IP and Port Settings verder leeg en klik op Next.
6. Geef tijdelijk een pad op voor de nieuwe website, bijvoorbeeld c:\temp, en klik op Next.
7. Accepteer de standaardinstellingen voor Permissions en klik op Next, en daarna op Finish. De nieuwe website is toegevoegd.

Nieuwe CSR genereren

1. Volg de handleiding Microsoft IIS - Aanmaken CSR op de net aangemaakte tweede website.
2. Log in op ons Control Panel, klik op tabblad Certificaten en kies de optie Heruitgifte achter het betreffende certificaat.
3. Volg de handleiding Microsoft IIS - Installatie certificaat om het certificaat weer te installeren.
   NB: doe dit op de nieuwe / tijdelijke website.
4. Rechtsklik op de oorspronkelijke website en kies Properties; klik vervolgens onder tabblad Directory Security op Server Certificate... . De IIS Certificate Wizard wordt geopend.
5. Kies de optie Replace the current certificate en volg de instructies. Kies het zojuist geïmporteerde certificaat.
6. Verwijder de nieuwe / tijdelijke website.

Gerelateerde artikelen:

Backup SSL certificaat en private key (pfx bestand)
Importeren SSL certificaat en private key (pfx bestand)