Beim Versuch ein auf dem Server gültiges Zertifikat einem Weblistener zuzuordnen meldet der TMG, dass der Private Schlüssel angeblich falsch ist (Falscher Schlüsseltyp).
Das passiert, wenn man die Zertifikatsanforderung (CSR, Certificate Signing Request) und Windows Server 2008 oder höher ausstellt da der Schlüssel dann im Standard eine CNG V3 Vorlage (Cryptography Next Generation) benutzt.
Der Forefront TMG unterstützt keine Zertifikate in einem Weblistener oder als Client Authentifizierung, die mit einer CNG Vorlage erstellt wurde.
Lösung:
Das vorhandene Zertifikat wird über die MMC aus dem Zertifikatsspeicher gelöscht (ggfs. vorher mit dem Privaten Schlüssel exportieren).
Über den Firefox importiert man das Zertifikat (.pfx). Dazu geht man in die Einstellungen -> Erweitert -> Zertifikate -> Zertifikate anzeigen
Anschließend auf Importieren. Das importierte Zertifikat sichert man nun wieder, diesmal als PKCS12-Datei (.p12).
Das eben gesicherte Zertifikat importiert man nun am Forefront TMG über die MMC (Zertifikate -> Computer).
Jetzt wird das Zertifikat auch vom Weblistener als gültig anerkannt 🙂