358 Kapitel 7: Active Directory-Zertifikatdienste
Weisen Sie die Rolle des Schlüsselwiederherstellungs-Agenten den Leuten aus Ihrer Organi-
sation zu, die für die Wiederherstellung von privaten, in der Zertifizierungsstellendatenbank
archivierten Schlüsseln zuständig sind. Ein Benutzer, der die Rolle eines Schlüsselwieder-
herstellungs-Agenten inne hat, ist zum Beispiel in der Lage, den privaten Schlüssel und das
Zertifikat wiederherzustellen, das vom verschlüsselnden Dateisystem verwendet wurde, falls
er die verschlüsselten Dateien eines anderen Benutzers wiederherstellen muss. Bevor Sie
einem Benutzer die Rolle des Schlüsselwiederherstellungs-Agenten zuweisen, sollten Sie
sicherstellen, dass Sie für das Benutzerkonto ein Zertifikat mit der Objektkennung Schlüs-
selwiederherstellungs-Agent ausgestellt haben. Die Standardzertifikatvorlage Schlüssel-
wiederherstellungs-Agent verfügt über diese Objektkennung. Sie können diese Vorlage
schützen, indem Sie genau festlegen, welche Benutzer und Gruppen Zertifikate dieses Typs
anfordern dürfen. Wenn Sie in Ihrer Organisation eine Schlüsselwiederherstellung bereit-
stellen möchten, sollten Sie die Anzahl der Leute, die Schlüsselwiederherstellungs-Agenten
sind, möglichst klein halten. Lektion 2 beschreibt die Bearbeitung der Berechtigungen auf
den Zertifikatvorlagen ausführlicher.
Bei der Wiederherstellung eines privaten Schlüssels ist es erforderlich, die Seriennummer
des fraglichen Zertifikats zu ermitteln und mit
certutil –getkey eine verschlüsselte Version
des Schlüssels aus der Zertifizierungsstellendatenbank abzurufen. Diese Funktionalität ist
auch in der Konsole Zertifizierungsstelle verfügbar, wobei das betreffende Zertifikat in der
Liste der ausgestellten Zertifikate mit der rechten Maustaste angeklickt wird. Anschließend
kann ein Benutzer mit einem Schlüsselwiederherstellungs-Agent-Zertifikat den privaten
Schlüssel mit dem Befehl
certutil –recoverkey auslesen und dann nach Bedarf importieren
oder anderen zum Import übergeben.
Weitere Informationen Mehr über das Archivieren von Verschlüsselungsschlüsseln
Weitere Informationen über das Archivieren von Verschlüsselungsschlüsseln finden Sie
in Kapitel 18, „Archivieren von Verschlüsselungsschlüsseln“, des Buchs Windows Server
2008 – PKI- und Zertifikat-Sicherheit von Brian Komar (Microsoft Press, 2008).
Sichern und Wiederherstellen der Zertifikatdatenbank
Zertifikatserver sind wichtige Komponenten der Netzwerkinfrastruktur Ihrer Organisation.
Daher sollten Sie regelmäßig eine Datensicherung durchführen. Die gebräuchlichste Metho-
de zur Sicherung der Active Directory-Zertifikatdienste ist die Systemstatussicherung. Wenn
Sie auf der Zertifizierungsstelle eine Systemstatussicherung durchführen, werden folgende
Komponenten der Zertifikatdienste gesichert:
■ Zertifizierungsstellendatenbank Die Zertifizierungsstellendatenbank enthält
Informationen über alle Zertifikate, die von der Zertifizierungsstelle ausgestellt oder
gesperrt wurden.
■ Schlüsselpaare der Zertifizierungsstelle Wenn Sie das Schlüsselpaar der Zertifizie-
rungsstelle sichern, können Sie die Zertifizierungsstelle auch nach einem Totalausfall
wiederherstellen und auf diese Weise dafür sorgen, dass alle von ihr ausgestellten Zer-
tifikate gültig bleiben. Wenn Sie das Zertifikat der Zertifizierungsstelle erneuern und
dabei ein neues Schlüsselpaar erstellen, müssen Sie nicht nur den neuen Zertifizie-
rungsstellenschlüssel sichern, sondern auch die älteren Versionen. Beachten Sie bitte,
Lektion 1: Verwalten und Warten von Zertifikatservern 359
dass das Schlüsselpaar der Zertifizierungsstelle vielleicht von der Sicherung ausge-
nommen wird, wenn ein Hardware-Sicherheitsmodul vorhanden ist. Überprüfen Sie
die Dokumentation, falls Sie eines dieser Geräte auf der Zertifizierungsstelle ver-
wenden.
■ Registrierungseinstellungen der Zertifikatdienste Bei einer Systemstatussiche-
rung wird die gesamte Registrierung des Computers gesichert. Das umfasst auch die
Änderungen, die bei der Installation der Zertifikatdienste vorgenommen wurden.
Auf einem Computer, auf dem Windows Server 2008 ausgeführt wird, können Sie eine Sys-
temstatussicherung durchführen, indem Sie die Windows Server-Sicherung installieren und
dann den Befehl
wbadmin start systemstatebackup –backuptarget:LaufwerksBuchstabe verwen-
den. Aus der GUI der Windows Server-Sicherung heraus können Sie zwar keine reinen
Sicherungen des Systemstatus durchführen, aber wenn Sie ein Volume sichern oder eine
vollständige Sicherung durchführen, werden die Systemstatusdaten automatisch ebenfalls
gesichert.
Eine Sicherung der Zertifizierungsstellendatenbank, der Schlüsselpaare und der Protokoll-
dateien lässt sich auch mit der Konsole Zertifizierungsstelle und mit dem Befehl
Certutil
durchführen. Um mit der Konsole Zertifizierungsstelle eine Sicherung durchzuführen, kli-
cken Sie die Zertifizierungsstelle mit der rechten Maustaste an, wählen Alle Aufgaben und
dann Zertifizierungsstelle sichern. Dadurch wird der Sicherungs-Assistent der Zertifizie-
rungsstelle gestartet. Wie Abbildung 7.9 zeigt, können Sie den privaten Schlüssel und das
Zertifizierungsstellenzertifikat ebenso sichern wie die Zertifikatdatenbank und das Zertifi-
katdatenbankprotokoll. Das Verzeichnis, in dem Sie die Sicherung speichern, muss leer sein.
Aus Sicherheitsgründen müssen Sie ein Kennwort eingeben, wenn Sie den privaten Schlüs-
sel und das Zertifizierungsstellenzertifikat sichern. Verwahren Sie jede Niederschrift dieses
Kennworts an einem sicheren Ort, getrennt von den Sicherungskopien, in denen der private
Schlüssel und das Zertifizierungsstellenzertifikat enthalten ist. Dasselbe Ergebnis erhalten
Sie mit dem Befehl
certutil –backup C:\SpeicherOrt auf der Befehlszeile.
Abbildung 7.9 Sichern der Zertifizierungsstelle
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
