Wie kann ich ein Zertifikat von MMC als PFX-Datei exportieren?

19

Ich versuche gerade, die KeySpec-Eigenschaft eines Codesignaturzertifikats von Comodo anhand dieser Anleitung zu ändern . In diesem Handbuch wird erwähnt, dass Sie Ihre Zertifikatdatei in MMC importieren und später erneut exportieren. Ich habe jedoch anscheinend nicht die Möglichkeit, als PFX-Datei zu exportieren. Ich habe bereits eine PFX-Datei. Ich kann es erfolgreich importieren, aber wenn ich zum Export gehe, ist die Option ausgegraut / deaktiviert.

pfx deaktiviert

Was muss ich tun, um diese Exportoption zu aktivieren?

Soapergem
quelle

Antworten:

29

Das Zertifikat-Snap-In exportiert PFX-Zertifikate wirklich nicht gern, aber PowerShell freut sich darüber. Sie können das Export-PfxCertificateCmdlet verwenden.

  1. Wechseln Sie zum Pseudo-Laufwerk für Zertifikate, indem Sie cd cert:\an der PowerShell-Eingabeaufforderung eingeben .
  2. Geben Sie cd CurrentUseroder cd LocalMachineentsprechend ein, wo sich das Zertifikat befindet. Möglicherweise müssen Sie PowerShell als Administrator starten, um ein Computerzertifikat zu exportieren.
  3. cdin den entsprechenden Laden (a dirkann helfen). Der Personal Store in MMC wird Myhier aufgerufen .
  4. Verwenden Sie dirdiese Option , um zu ermitteln, welche ID dem gewünschten Zertifikat entspricht.
  5. Geben Sie diesen Befehl ein, um ihn als PFX mit einem Kennwort zu exportieren:

    Export-PfxCertificate -Cert .\LONGSTRINGOFHEX -FilePath 'C:\path\to\outfile.pfx' -Password (ConvertTo-SecureString -String 'password' -AsPlainText -Force)
    

    LONGSTRINGOFHEXsollte durch die ID Ihres Zertifikats ersetzt werden. Glücklicherweise können Sie die Tab-Vervollständigung verwenden.

Sobald dieser Befehl ausgeführt wird, verfügen Sie über ein PFX-Zertifikat, das mit dem von Ihnen angegebenen Kennwort geschützt ist. PowerShell weigert sich, den privaten Schlüssel des Zertifikats ohne Kennwort zu exportieren, und das Kennwort darf nicht leer sein. Trotzdem ist dein PFX raus.

Ben N.
quelle
Bitte verzeihen Sie solch eine unwissende Frage, aber wie installiere ich das Cmdlet? Derzeit cert:erhalte ich beim Eingeben von PS die Meldung "Der Begriff 'cert:' wird nicht als Name eines Cmdlets, einer Funktion, einer Skriptdatei oder eines bedienbaren Programms erkannt." Windows 10 natürlich.
Soapergem
@SoaperGEM Ich entschuldige mich, es sollte cd cert:\stattdessen sein.
Ben N
1
@SoaperGEM Dieses Cmdlet ist in Windows 8, 8.1, 10, Server 2012 und Server 2012 R2 verfügbar. Nach Ihrem Screenshot zu urteilen, sind Sie bereit. Suchen Sie beim Importieren Ihres Zertifikats außerdem nach einem Kontrollkästchen, mit dem Sie den privaten Schlüssel als exportierbar markieren können. Das sollte Ihnen die Möglichkeit geben, es über MMC zu exportieren.
2
Ich erhalte die Fehlermeldung - Nicht exportierbarer privater Schlüssel kann nicht exportiert werden. Kann jemand helfen, das Problem zu identifizieren.
Raja Dorji
1
@RajaDorji Wenn ein privater Schlüssel als nicht exportierbar markiert wurde, lehnt das System den Export im Allgemeinen ab. Tools wie Mimikatz ( hier erwähnt ) können dies durch inoffizielle Methoden umgehen .
Ben N
0

Wenn Sie ein Zertifikat in den WebHosting-Speicher importieren, können Sie den privaten Schlüssel nicht exportieren. Verschieben Sie es in den persönlichen Speicher, und Sie können es als PFX exportieren. Ich konnte dies in Windows 2012R2 tun, ohne in die Befehlszeile gehen und Export-PfxCertificate verwenden zu müssen (was sehr schmerzhaft ist, da ich die ID des Zertifikats nicht herausfinden konnte, um mein Leben zu retten).

MC9000
quelle
Okay, ich liege falsch. Ich habe gerade Glück gehabt. Ich musste diese Aufgabe erneut versuchen (ein Zertifikat neu ausgestellt), und diese Methode funktioniert nicht mehr :(
MC9000
Sie finden die ID des Zertifikats, indem Sie entweder zu IIS> Maschine> cd cert:\LocalMachine\My
Devin Gleason Lambert
-1

Exportieren Sie die .P7B-Datei einmal. Gehen Sie dann zurück und versuchen Sie erneut, das Zertifikat zu exportieren. Der .PFX-Export wird beim nächsten Mal aktiviert.

Atul
quelle
Das geht sicher nicht!
MC9000