IIS - Bestaande private key toewijzen aan nieuw certificaat

In sommige gevallen maken beheerders een nieuwe CSR aan, maar installeren daarna een ouder certificaat terwijl er wordt gewacht op het nieuwe certificaat. Dit breekt echter de link die IIS heeft met de locatie van de Private Key, waardoor de Certificate Wizard de foutmelding geeft dat de Private Key niet kan worden gevonden zodra men probeert het nieuwe certificaat te importeren.

Oplossing

Eerst moeten eventueel nog openstaande aanvragen (pending requests) worden verwijderd, daarna kan het nieuwe certificaat handmatig worden geïmporteerd in de Local Machine Certificate Store en kan het met behulp van CertUtil.exe weer worden gekoppeld aan de Private Key.

Verwijderen Pending Requests (Alleen voor IIS 6)

  1. Log in op de server waarop de CSR is aangemaakt met een Administrator-account.
  2. Annuleer een mogelijk nog openstaande aanvraag (pending request) binnen IIS:
    • Open de IIS Manager.
    • Rechtsklik op de betreffende website en kies Properties.
    • Klik op tabblad Directory Security op Server Certificate... en volg de instructies.

Local Machine certificate store openen

  1. Klik de StartRun, typ mmc en klik op OK.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  2. Ga naar menu File en kies Add/Remove Snap in.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  3. Klik op Add,  kies in het Add Standalone Snap-in venster de Certificates snap-in en klik op Add.

    IIS - Bestaande private key toewijzen aan nieuw certificaat


  4. Selecteer Computer Account. NB: deze stap is erg belangrijk: het moet het computer account zijn, en niet een andere). Klik op Next.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  5. Kies Local Computer en klik op Finish.

    IIS - Bestaande private key toewijzen aan nieuw certificaat

  6. Sluit de Add Standalone Snap-in box, en klik OK in het Add/Remove Snap-in venster en ga terug naar de MMC.

Installatie nieuw certificaat

  1. In het Certificates snap-in dialoogvenster, vouw Certificates uit, rechtsklik op de Personal map, ga met de muis naar All Tasks, en klik op Import.
  2. Op de Welcome to the Certificate Import Wizard pagina, klik op Next.
  3. Klik op het File to Import pagina op Browse... .
  4. Navigeer naar het nieuwe certificaat, klik erop en klik op Open. Klik vervolgens op Next.
  5. Op de Certificate Store pagina, klik op Place all certificates in the following store, en klik op Browse.
  6. Kies de Personal certificate store in het Select Certificate Store venster en klik op OK.
  7. Klik op Next en daarna op Finish om het importeren af te ronden.

Nieuw certificaat koppelen aan de Private Key

  1. In de Certificates snap-in, dubbelklik op het geimporteerde certificaat dat zich bevindt in de Personal map.
  2. Klik in het Certificate dialoogvenster op de Details tab.
  3. Klik op Serial Number in de Field kolom van de Details tab en noteer het serienummer.
  4. Klik op menu StartRun, typ cmd in het run-vak en klik er met de rechtermuisknop op. Klik vervolgens op Run As Administrator. Er opent zich een command prompt.
  5. Typ in de command prompt de volgende regel: certutil -repairstore my "serienummer"
    NB
    : vervang serienummer met het in stap 3 genoteerde serienummer.
  6. Rechtsklik in de Certificates Snap-In op Certificates en kies Refresh. Het certificaat zou nu een bijbehorende private key moeten hebben. Dit is te controleren door op het certificaat te dubbelklikken: onderin moet de melding staan You have a private key that corresponds with this certificate.
  7. Het certificaat heeft nu een bijbehorende private key. De IIS manager kan worden gebruikt om het herstelde keypaar (certificaat) toe te wijzen aan de website.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.