IIS - Bestaande private key toewijzen aan nieuw certificaat

In sommige gevallen maken beheerders een nieuwe CSR aan, maar installeren daarna een ouder certificaat terwijl er wordt gewacht op het nieuwe certificaat. Dit breekt de link die IIS heeft met de locatie van de Private Key, waardoor de Certificate Wizard de foutmelding geeft dat de Private Key niet kan worden gevonden zodra men probeert het nieuwe certificaat te importeren.

Let op: Gebruik voor het vervangen van een EV (Extended Validation) certificaat in IIS deze handleiding.

Om dit te verhelpen moeten eventueel nog openstaande aanvragen (pending requests) worden verwijderd, daarna kan het nieuwe certificaat handmatig worden geïmporteerd in de Local Machine Certificate Store en kan het certificaat met behulp van certutil.exe of PowerShell weer worden gekoppeld aan de Private Key.

Oplossing

Eerst moeten eventueel nog openstaande aanvragen (pending requests) worden verwijderd, daarna kan het nieuwe certificaat handmatig worden geïmporteerd in de Local Machine Certificate Store en kan het met behulp van CertUtil.exe weer worden gekoppeld aan de Private Key.

Verwijderen Pending Requests (Alleen voor IIS 6)

Voor IIS versies 7 en hoger kun je onderstaande stappen 1 en 2 overslaan:

  1. Log in op de server waarop de CSR is aangemaakt met een Administrator-account.
  2. Annuleer een mogelijk nog openstaande aanvraag (pending request) binnen IIS:
    • Open de IIS Manager.:
    • Rechtsklik op de betreffende website en kies Properties.
    • Klik op tabblad Directory Security op Server Certificate... en volg de instructies.

Local Machine certificate store openen

  1. Klik de Start > Run, typ mmc en klik op OK.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  2. Klik File en selecteer Add/Remove Snap-in...

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  3. Selecteer Certificates vanaf de Add or Remove Snap-ins box en klik op Add.

    IIS - Bestaande private key toewijzen aan nieuw certificaat


  4. Kies Computer Account en klik op Next.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  5. Kies Local Computer en klik op Finish.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  6. Sluit de Add or Remove Snap-ins box door op OK te klikken en keer terug in de MMC.

Installatie nieuw certificaat

  1. In het Certificates snap-in dialoogvenster, vouw Certificates uit, rechtsklik op de Personal map, ga met de muis naar All Tasks, en klik op Import.
  2. Op de Welcome to the Certificate Import Wizard pagina, klik op Next.
  3. Klik op de File to Import pagina op Browse... .
  4. Navigeer naar het nieuwe certificaat, klik erop en klik op Open. Klik vervolgens op Next.
  5. Op de Certificate Store pagina, klik op Place all certificates in the following store, en klik op Browse.
  6. Kies de Personal certificate store in het Select Certificate Store venster en klik op OK.
  7. Klik op Next en daarna op Finish om het importeren af te ronden.

Nieuw certificaat koppelen aan de Private Key

Nu het nieuwe certificaat fysiek op de server aanwezig is, kan de bestaande private key worden gekoppeld aan het nieuwe certificaat via de PowerShell of MMC.

Methode 1: Nieuw certificaat koppelen aan de Private Key via PowerShell

  1. Open de Power Shell als administrator.
  2. Voer hier het volgende commando op uit:
    dir Cert:\LocalMachine\My -Recurse |Where-Object { $_.Issuer -like "*Extended Validation*" }| select -expandproperty SerialNumber | certutil -repairstore my $_.
  3. Het nieuwe certificaat zou nu een bijbehorende private key moeten hebben. Dit is te controleren door op het certificaat te dubbelklikken, onderin moet de melding staan:
    You have a private key that corresponds with this certificate.
  4. Het certificaat heeft nu een bijbehorende private key.

Methode 2: Nieuw certificaat koppelen aan de Private Key via MMC

  1. In de Certificates snap-in, dubbelklik op het geimporteerde certificaat dat zich bevindt in de Personal map.
  2. Klik in het Certificate dialoogvenster op de Details tab.
  3. Klik op Serial Number in de Field kolom van de Details tab en noteer het serienummer.
  4. Klik op menu Start ? Run, typ cmd in het run-vak en klik op OK. Er opent zich een command prompt.
  5. Typ in de command prompt de volgende regel: certutil -repairstore my "serienummer"
    Let op:
    vervang serienummer met het in stap 3 genoteerde serienummer.
  6. Rechtsklik in de Certificates Snap-In op Certificates en kies Refresh. Het certificaat zou nu een bijbehorende private key moeten hebben. Dit is te controleren door op het certificaat te dubbelklikken: onderin moet de melding staan You have a private key that corresponds with this certificate.
  7. Het certificaat heeft nu een bijbehorende private key. De IIS manager kan worden gebruikt om het herstelde keypaar (certificaat) toe te wijzen aan de website.
point up