03-6758-0529

(9:00〜17:00 土日祝日を除く)

SSL・EV SSL サーバー証明書 サポート

Exchange 2007 トラブルシューティング

Exchange 2007のプライベートキー(秘密鍵)が見つからない

“The certificate with thumbprint… was found but is not valid for use with Exchange Server (reason: PrivateKeyMissing).”

このメッセージ表示には、以下の二つのケースが考えられますが、どちらのケースも解決可能です。

  • 実際にプライベートキーが削除されたり、移動されたりして、本来あるべき位置に存在しないこと
  • プライベートキーが何らかの理由によって破損してしまっていて、Exchangeから利用できないこと

解決策

どちらの場合も、新しいCSRを作るところから始めるのがおすすめです。
DigiCertでは、同一コモンネームの証明書再発行は無料です。新しいCSRをお送りいただけば、ただちに証明書を再発行できます。

その他の解決策

上の事例のどちらにも該当しない場合は、以下のコマンドを実行してみてください。
プライベートキー(秘密鍵)がサーバー上にあり、破損している場合は、解決の糸口が得られるはずです。

certutil -repairstore my "YourSerialNumber"

Microsoftから提供されている情報も参照してください。

プライベートキー(秘密鍵)トラブルの原因として考えられること

共通の原因を特定するのは困難ですが、以下のような理由が考えられます。

CSR作成とインストールに別のツールを使っている

最初に疑うべきは、CSR作成にはExchangeコマンドラインやあるいはIISを使い、 .crt/.cer/.p7b 等のサーバ証明書のインストールにはMMCを使っているのではないかということです。
MMCを使ってサーバ証明書だけをインポートした場合、サーバ証明書とプライベートキー(秘密鍵)との合成は行われません。
MMCでサーバ証明書がインポートできるのは、正しくインストールされプライベートキー(秘密鍵)と合成された証明書をバックアップしてできた .pfxを使う場合だけです。

正しくインストールされた証明書から作成された .pfxファイルをインポートしている

もうひとつ発生しがちなのは、正しくインストールされた証明書から作成された .pfxファイルをインポートしているケースです。
この場合、エクスポートの過程でプライベートキー(秘密鍵)のバックアップが正しく行われていないことが疑われます。

サーバー証明書要求が重複している

最初のサーバー証明書要求が行われたにもかかわらず、その証明書がインストールされずに、二つ目のサーバー証明書要求が行われると、最初のサーバー証明書要求に対応するプライベートキー(秘密鍵)は自動的に削除されます。

この問題の背景

SSL/TLSサーバ証明書は、公開鍵とプライベートキー(秘密鍵)のセットで機能するしくみになっています。
これらのファイルは、Windowsサーバー上では通常 .p12、.pfx、keystore file 等のファイルにまとめられます。

サーバー証明書要求を行った場合、二つのファイルが作成されます。
ひとつはプライベートキー(秘密鍵)で、これは作成したサーバーで安全に保存されます。
もう一つがサーバー証明書要求(CSR)ファイルで、このファイルには、認証局(CA)がこのプライベートキー(秘密鍵)用の公開鍵を含んだサーバー証明書を作成するための情報が書き込まれています。

サーバ証明書が正しくインストールされると、その証明書用のCSRが作成されたプライベートキー(秘密鍵)と合成されます。
ほとんどのMicrosoftのインストールツールでは、プライベートキー(秘密鍵)と適合しないサーバ証明書はインストールできません。

関連情報

Copyright © Sophia Research Institute,Ltd. All rights reserved.