Im Zuge der SSL-Zertifikatserneuerungen wegen der neu signierten (Symantec)-Zertifikate die ja, wenn man sie nicht erneuert, unter Chrome ab Version 70 und auch später anderen Browsern ab mitte September Warnungsfenster anzeigen,  hatte ich für einen Exchange-Server routinemäßig einen neuen CSR (Certificate Signing Request) erzeugt. 

Doch der Zertifikatsdienstleister hat unter der Haube den originalen CSR für das Erneuern verwendet, was dazu führte, dass ich zwar ein neues Zertifikat bekam, dies aber nicht zum neu ausgestellten privaten Schlüssel passte. Stattdessen erhielt ich beim Importversuch eine Fehlermeldung, dass das Zertifikat bereits vorhanden sei (halt das bisherige). 

Nun geht der Trick so, das alte Zertifikat zu löschen (der private Schlüssel bleibt gespeichert), das neue Zertifikat zu importieren und dann das neu signierte Zertifikat mit dem alten privaten Schlüssel zu verknüpfen. 
Hierzu doppelklickt man auf das Zertifikat, wechselt auf das Details-Register, kopiert zunächst die Seriennummer heraus:

Anschließend entfernt man die Leerzeichen und fügt die Seriennummer in folgendes Kommando in einer administrativen Eingabeaufforderung ein siehe:

certutil -repairstore my "Seriennummer mit Leerzeichen"


Alternativ geht auch der Fingerabdruck als Identifikationsmerkmal:

certutil -repairstore my "Fingerabdruck ohne Leerzeichen"

Nach einem Refresh ist das neue Zertifikat mit dem privaten Schlüssel verknüpft und kann den Diensten zugeordnet werden.