358 Kapitel 7: Active Directory-Zertifikatdienste
Weisen Sie die Rolle des Schlüsselwiederherstellungs-Agenten den Leuten aus Ihrer Organi-
sation zu, die für die Wiederherstellung von privaten, in der Zertifizierungsstellendatenbank
archivierten Schlüsseln zuständig sind. Ein Benutzer, der die Rolle eines Schlüsselwieder-
herstellungs-Agenten inne hat, ist zum Beispiel in der Lage, den privaten Schlüssel und das
Zertifikat wiederherzustellen, das vom verschlüsselnden Dateisystem verwendet wurde, falls
er die verschlüsselten Dateien eines anderen Benutzers wiederherstellen muss. Bevor Sie
einem Benutzer die Rolle des Schlüsselwiederherstellungs-Agenten zuweisen, sollten Sie
sicherstellen, dass Sie für das Benutzerkonto ein Zertifikat mit der Objektkennung Schlüs-
selwiederherstellungs-Agent ausgestellt haben. Die Standardzertifikatvorlage Schlüssel-
wiederherstellungs-Agent verfügt über diese Objektkennung. Sie können diese Vorlage
schützen, indem Sie genau festlegen, welche Benutzer und Gruppen Zertifikate dieses Typs
anfordern dürfen. Wenn Sie in Ihrer Organisation eine Schlüsselwiederherstellung bereit-
stellen möchten, sollten Sie die Anzahl der Leute, die Schlüsselwiederherstellungs-Agenten
sind, möglichst klein halten. Lektion 2 beschreibt die Bearbeitung der Berechtigungen auf
den Zertifikatvorlagen ausführlicher.
Bei der Wiederherstellung eines privaten Schlüssels ist es erforderlich, die Seriennummer
des fraglichen Zertifikats zu ermitteln und mit
certutil –getkey eine verschlüsselte Version
des Schlüssels aus der Zertifizierungsstellendatenbank abzurufen. Diese Funktionalität ist
auch in der Konsole Zertifizierungsstelle verfügbar, wobei das betreffende Zertifikat in der
Liste der ausgestellten Zertifikate mit der rechten Maustaste angeklickt wird. Anschließend
kann ein Benutzer mit einem Schlüsselwiederherstellungs-Agent-Zertifikat den privaten
Schlüssel mit dem Befehl
certutil –recoverkey auslesen und dann nach Bedarf importieren
oder anderen zum Import übergeben.
Weitere Informationen Mehr über das Archivieren von Verschlüsselungsschlüsseln
Weitere Informationen über das Archivieren von Verschlüsselungsschlüsseln finden Sie
in Kapitel 18, „Archivieren von Verschlüsselungsschlüsseln“, des Buchs Windows Server
2008 – PKI- und Zertifikat-Sicherheit von Brian Komar (Microsoft Press, 2008).
Sichern und Wiederherstellen der Zertifikatdatenbank
Zertifikatserver sind wichtige Komponenten der Netzwerkinfrastruktur Ihrer Organisation.
Daher sollten Sie regelmäßig eine Datensicherung durchführen. Die gebräuchlichste Metho-
de zur Sicherung der Active Directory-Zertifikatdienste ist die Systemstatussicherung. Wenn
Sie auf der Zertifizierungsstelle eine Systemstatussicherung durchführen, werden folgende
Komponenten der Zertifikatdienste gesichert:
■ Zertifizierungsstellendatenbank Die Zertifizierungsstellendatenbank enthält
Informationen über alle Zertifikate, die von der Zertifizierungsstelle ausgestellt oder
gesperrt wurden.
■ Schlüsselpaare der Zertifizierungsstelle Wenn Sie das Schlüsselpaar der Zertifizie-
rungsstelle sichern, können Sie die Zertifizierungsstelle auch nach einem Totalausfall
wiederherstellen und auf diese Weise dafür sorgen, dass alle von ihr ausgestellten Zer-
tifikate gültig bleiben. Wenn Sie das Zertifikat der Zertifizierungsstelle erneuern und
dabei ein neues Schlüsselpaar erstellen, müssen Sie nicht nur den neuen Zertifizie-
rungsstellenschlüssel sichern, sondern auch die älteren Versionen. Beachten Sie bitte,