Archivieren und Wiederherstellen von Zertifikaten

Vorwort
Wenn die PKI-Bereitstellung erfolgreich ist, können Benutzer und Anwendungen ihre privaten Daten mithilfe von Zertifi-
katen schützen. Zum Zugreifen auf diese Daten sind natürlich die privaten Schlüssel der Benutzer erforderlich. Wenn
ein Benutzer den Zugriff auf den privaten Schlüssel verliert oder ein Mitarbeiter die Organisation verlässt, entwickeln
Sie ein neues Anerkennungszertifikat für die Verschlüsselung. Auf die Daten kann dann nicht mehr zugegriffen weden.

Ein Vorteil der Windows Server 2003-Zertifikatdienste besteht in der Möglichkeit, private Schlüssel zu sichern und verlo-
ren gegangene Schlüssel wiederherzustellen. Mithilfe der Schlüsselarchivierung und Schlüsselwiederherstellung können
Sie den privaten Schlüssel eines Schlüsselpaares archivieren und wiederherstellen, für den Fall, dass ein Benutzer
einen privaten Schlüssel verliert oder ein Administrator die Rolle eines Benutzers annehmen muss, um auf Daten zuzu-
greifen oder diese wiederherzustellen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:

Ermitteln der Notwendigkeit einer Schlüsselwiederherstellung
Auswählen geeigneter Methoden für das Wiederherstellen von Schlüsseln
Exportieren und Importieren von Schlüsseln
Durchführen einer Schlüsselarchivierung und Schlüsselwiederherstellung
Beschreibung der Möglichkeiten zum Verringern der mit der Schlüsselarchivierung verbundenen Risiken.

Übersicht über die Schlüsselwiederherstellung

Windows-Client speicher Zertifikate lokal auf den Computer oder Hardwaregeräten, die das Zertifikat angefordert
haben, bzw. im Falle eines Benutzers auf dem vom Benutzer zum Anforder des Zertifikats verwendeten Computer oder
Gerät. Die Zertifikate werden im Zertifikatspeicher gespeichert. Es gibt einerseits den Computerspeicher, der vom
Computer verwendet wird, und andererseits den Benutzerspeicher (wird auch als Eigener Speicher bezeichnet), der
vom aktuell angemeldeten Benutzer verwendet wird. Ein Zertifikatspeicher enthält oft mehrere Zertifikate, die möglicher-
weise von vielen unterschiedlichen Zertifizierungsstellen ausgestellt wurden.

Das Benutzerprofil wird gelöscht: Wenn ein Kryptografiedienstanbieter einen privaten Schlüssel verschlüsselt und
speichert, wird der verschlüsselte private Schlüssel auf dem lokalen Dateisystem und in der Registrierung im Ordner
für das Benutzerprofil gespeichert. Das Löschen des Profils führt zum Verlust des privaten Schlüssels.

Das Betriebssystem wird neu installiert: Wenn Sie das Betriebssystem neu installieren, gehen die Benutzerpro-
file der vorherigen Installation verloren. Dies umfass auch den privaten Schlüssel.

Die Festplatte ist beschädigt: Wenn die Festplatte beschädigt wird und das Benutzerprofil nicht verfügbar ist, kann
der private Schlüssel verloren gehen.

Der Computer wurde gestohlen: Wenn der Computer eines Benutzers gestohlen wird, geht auch das Benutzerpro-
fil mit dem privaten Schlüssel verloren.

Bestimmte PKI-Aufgaben sind davon abhängig, dass der Benutzer Zugriff auf ein bestimmtes Zertifikat hat. Wenn Sie
z. B. eine Datei mit EFS verschlüsseln und die Zertifikate dann nicht mehr verfügbar sind, müssen Sie das verloren ge-
gangene Zertifikat wiederherstellen, um auf die Datei zugreifen zu können. Sie können die Datei jedoch nicht mit einem
neu erstellten Zertifikat entschlüsseln.

Windows Server 2003 stellt zwei Methoden für das Sichern und Wiederherstellen von privaten Schlüsseln bereit, um
einen potenziellen Datenverlust aufgrund eines verloren gegangenen Schlüssels zu vermeiden: Exportieren und Im-
portieren sowie Schlüsselarchivierung und -wiederherstellung. Schlüssel können von einzelnen Benutzern ohne Active
Directory exportiert und importiert werden. Die Skalierbarkeit beim Exportieren und Importieren von Schlüsseln ist je-
doch für Unternehmen, die eine große Anzahl von Schlüsseln verwalten müssen, nicht unbedingt ausreichend.

Mithilfe der Schlüsselarchivierung und -wiederherstellung können Schlüsselwiederherstellungs-Agenen (Key Recover
Agens, KRAs) ein Originalzertifikat, einen privaten Schlüssel und einen öffentlichen Schlüssel aus einer in der Zerti-
fizierungsstelle gespeicherten Datenbank abrufen. Dieser Prozess erfolgt in zwei Phasen (Schlüsselarchivierung und
Schlüsselwiederherstellung) und wird auch als Schlüsselhinterlegung bezeichnet. Mithilfe der Schlüsselarchivierung
und Schlüsselwiederherstellung können Sie den privaten Schlüssel eines Schlüsselpaares archivieren und wieder-
herstellen, für den Fall, dass ein Benutzer einen privaten Schlüssel verliert.

Exportieren von Schlüssen

Die einfachste Methode der Sicherung eines Schlüsselpaares besteht darin, den Schlüssel manuell zu exportieren,
mit einem Kennwort zu schützen und das Medium mit dem Export an einem sicheren Ort zu speichern. Eine PKI
verwendet mehrere Formate, um Zertifikate, Zertifikatketten und private Schlüsse zu importieren und zu exportieren.

Wein ein Benutzer ein Zertifikate mithilfe der Konsole Zertifikate, der Konsole der Zertifizierungsstelle, mit Certutil.exe
oder mit Internet Explorer exportiert, stehen hierfür die Exportformate PKCS #7 und PKCS #12 zu Verfügung. Das
Format PKCS #7, das auch als Syntaxstandard kryptografischer Meldungen bezeichnet wird, sollte nur verwendet
werden, um Zertifikate ohne den privaten Schlüssel und Zertifikatketten für eine Zertifizierungsstelle zu exportieren.
Zum Sichern eines privaten Schlüssels ist das Format PKCS #7 nicht geeignet. Stattdessen sollten Sie das Format
PKCS #12 verwenden, das auch als Syntaxstandard für den privaten Informationsaustausch bezeichnet wird.
Weil der private Schlüssel im Export enthalten ist, muss für die PKCS #12-Datei ein Kennwort verwendet
werden, um den privaten Schlüssel zu schützen. Sie sollten ein besonders sicheres Kennwort wählen, um
den privaten Schlüssel zu schützen.

Hinweis
Sie können Schlüssel auch im EPF-Dateiformat (Exchange Protection File) über den Outlook 2000 oder Outlook 2002-
Client exportieren.

Sie können ein Zertifikat mithilfe des Zertifikat-Snap-Ins, des Zertifizierungsstellen-Snap-Ins oder mit Certutil.exe expor-
tieren. Außerdem haben Sie die Möglichkeit, andere Anwendungen wie Outlook oder Internet Explorer zu verwenden,
um Schlüssel für Windows NT 4.0 und ältere Betriebssysteme zu exportieren, die nicht über Snap-Ins verfügen. Wenn
Sie ein Zertifikat mithilfe eines oben genannten Dienstprogramme exportieren, müssen Sie für die Zertifikat-
vorlage das Kontrollkästchen Exportieren von privaten Schlüssel zulassen aktivieren.

Die zum Exportieren eines Zertifikats zu verwendende Methode wird von der Zertifikatvorlage bestimmt, auf der das Zert-
ifikat basiert. Wenn das Zertifikat beispielsweise eine Anwendungsrichtlinie für sichere E-Mail oder eine Objektkennung
(Object Identifier, OID) für die erweiterte Schlüsselverwendung enthält, können Sie entweder Outlook oder das Zertifikat-
Snap-In verwenden. Wenn das Zertifikat keine Objektkennung für die erweiterte Schlüsselverwendung enthält, müssen
Sie das Zertifikat-Snap-In verwenden.

Praxistipp
Sicherheitsexperten sind sich im Hinblick auf das Exportieren privater Schlüssel uneinig. Für einige stellt allein die Tat-
sache, dass ein privater Schlüssel exportiert werden kann, bereits eine Sicherheitsverletzung da, die das Vertrauen in
das gesamte PKI-System schwächt. Andere, mich eingeschlossen, sind der Meinung, dass Verwaltbarkeit und Sicher-
heit ausgeglichen sein müssen. Wir argumentieren damit, dass wir durch die Möglichkeit des Exportieren eines priv-
aten Schlüssels Zeit und Geld sparen können, indem wir es einem Benutzer ermöglichen, einen anderen Computer
zu verwenden oder Dateien wiederherzustellen, wenn ein privater Schlüssel verloren gegangen oder beschädigt ist.

Letztendlich müssen Sie zwischen Sicherheit und Verwaltbarkeit entscheiden. Sie sollten jedoch bedenken, dass die
Verschlüsselung immer nur so sicher ist wie der private Schlüssel des Benutzers.

Beim Exportieren eines Zertifikats und der zugehörigen Schlüssel stehen Ihnen folgende zusätzliche Option zur Ver-
fügung:

Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen: Bei dieser Option wird die gesamte Zerti-
fikatkette des exportierten Zertifikats berücksichtigt. Beim Importieren können alle Zertifikate in der Zertifikatkette
bis hin zum Stammzertifikat einbezogen werden. Diese Auswahl bietet die Möglichkeit, dass die gesamte Zertifikat-
kette auf dem Computer vorhanden ist, auf dem das Zertifikat in ein Verzeichnis importiert wurde, so dass ggf. nicht
jedes einzelne Zertifikat in der Kette hinzugefügt werden muss. Verwenden Sie diese Option beim Exportieren eines
Zertifikats, das in ein Verzeichnis auf einem Computer importiert werden soll, der nicht mit der ausstellenden Zertifi-
zierungsstelle, den Zwischenzertifizierungsstellen oder der Stammzertifizierungsstelle kommunizieren kann.


Verstärkte Sicherheit aktivieren: Bei dieser Option wird die exportierte PKCS #12-Datei mit der 128-Bit-Verschl-
üsselung gespeichert. Trotzdem wollten Sie ein sicheres Kennwort verwenden, um die Daten zu schützen. Diese
Option erfordert Internet Explorer 5.0 und Windows NT 4.0 Service Pack 4 oder höher. Sie sollten diese Option
als weitere Sicherheitsmaßnahme aktivieren, um das Zertifikat zu schützen.


Privaten Schlüssel nach erfolgreichem Export löschen: Bei dieser Option wird der dem Zertifikat zugeordnete
private Schlüssel aus dem Zertifikatspeicher gelöscht. Sie sollten den privaten Schlüssel nur löschen, wenn Sie den
Schlüssel auf einen anderen Computer verschieben.


Nachdem Sie den privaten Schlüssel erfolgreich mit einem sicheren Kennwort exportiert haben, sollten Sie die expor-
tierte Datei auf einem physisch sicheren Medium speichern, auf das nicht über das Netzwerk zugegriffen werden kann.
Exportieren Sie die Datei z. B. auf eine CD-ROM, und bewahren Sie dann die CD-ROM an einem sicheren Ort auf.

Schlüsselarchivierung

Die Schlüsselarchivierung muss erfolgen, wenn das Zertifikat für den Benutzer ausgestellt wird. Über die Konfiguration
der Zertifikatvorlage der Version 2 (siehe untere Abbildung) wird festgelegt, ob die Zertifizierungsstelle den Schlüssel
archiviert. Zertifikatvorlagen der Version 1 können nicht automatisch über diesen Prozess archiviert werden.

Wenn ein Administrator die Schlüsselarchivierung mit einer Zertifikatvorlage der Version 2 aktiviert, verschlüsselt und
speichert die Zertifizierungsstelle den privaten Schlüssel in der zugehörigen Datenbank. Das Schlüsselpaar wird vom
Client erstellt, und daher muss der private Schlüssel zu Achivierungszwecken wieder zurück an die Zertifizierungs-
stelle übermittelt werden. Der Client verschlüsselt den privaten Schlüssel mit dem öffentlichen Schlüssel der Zerti-
fizierungsstelle, um sicherzustellen, dass die Sicherheit des privaten Schlüssels nicht während der Übertragung
gefährdet wird. Anschließend entschlüsselt und überprüft die Zertifizierungsstelle den privaten Schlüssel, verschlü-
sselt den Schlüssel erneut mit einem zufälligen symmetrischen 3DES-Schlüssel (Triple Data Enryption Standard)
und archiviert den verschlüsselten Schlüssel. Der zufällige symmetrische Schlüssel wird dann mit den öffentlichen
Schlüsseln der Schlüsselwiederherstellungs-Agenten verschlüsselt und zusammenmit dem verschlüsselten privaten
Schlüssel gespeichert.

Bild von Seite 450

Ein wichtiger Aspekt im Zusammenhang mit den Archivierungs- und Wiederherstellungsattributen der Zetifizierungs-
stelle ist die Voraussetzung, dass die Zertifizierungsstelle keine Informationen enthält, die zum Entschlüsseln der
archivierten privaten Schlüssel verwendet werden können. Zum Entschlüsseln der archivierten privaten Schlüssel ist
einer der privaten Schlüssel der Schlüsselwiederherstellungs-Agenten erforderlich, die im Benutzerprofil der jeweiligen
Schlüsselwiederherstellungs-Agenten gespeichert sind. Es werden nur auf öffentlichen Schlüsseln basierende Zertifi-
kate zum Verschlüsseln der Schlüssel verwendet, die zum Zugreifen auf die archivierten privaten Schlüssel erforderlich
sind. Auf diese Weise wird sichergestellt, dass ein Angreifer, der die Zertifizierungsstelle gefährdet, nicht die Sicherheit
der archivierten Schlüssel gefährden kann.

Damit Sie einen Schlüsselarchivierungs- und Schlüsselwiederherstellungsstrategie erfolgreich in Ihrer Organisation um-
setzen können, müssen Sie zunächst sicherstellen, dass die Zertifizierungsstelle folgende Anforderungen erfüllt:

Alle Zertifikate, die archiviert werden müssen, basieren auf Zertifikatvorlagen der Version 2.

Die ausstellenden Zertifizierungsstellen werden unter Windows Server 2003 ausgeführt.

Alle Clients verwenden Windows XP oder Windows Server 2003.

Sie verwenden Unternehmenszertifizierungsstellen, und die Windows Server 2003-Schemaerweiterungen wurde für
die Gesamtstruktur übernommen.

Insidertipp
Sie können eine Unternehmenszertifizierungsstelle unter Windows Server 2003 in einer Windows 2000-Gesamt-
struktur ausführen, ohne das Schema ändern zu müssen. Allerdings können Sie dann keine Zertifikatvorlagen der
Version 2 verwenden. Wenn Sie adprep.exe/forestprep in einer Windows 2000-Gesamtstruktur ausführen, werden
die Vorlagen der Version 2 beim nächsten Öffnen des Zertifikatvorlagen-Verwaltungsprogramms installiert:

Darüber hinaus müssen die Zertifikatvorlagen für die zu archivierenden Zertifikate für die Schlüsselarchivierung kon-
figuriert sein. Zum Konfigurieren der Vorlage wechseln Sie in den Vorlageeigenschaften zur Registerkarte Anfor-
derungsverarbeitung, und aktivieren Sie das Kontrollkästchen Privaten Schlüssel für die Verschlüsselung archi-
vieren. In dieser Lektion wird in Übung 3 die Infrastruktur der Zertifikatdienste für die Archivierung von Zertifikaten vorbe-
reitet, die auf einer neuen Vorlage basieren:

Schlüsselwiederherstellung

Nach der Archivierung eines Schlüssels kann ein Schlüsselwiederherstellungs-Agent einen beschädigten oder verloren
gegangenen Schlüssel mithilfe der Schlüsselwiederherstellung wiederherstellen. Im Allgemeinen ruft die Zertifikatver-
waltung die verschlüsselte Datei mit dem Zertifikat und dem privaten Schlüssel aus der Datenbank der Zertifizierungs-
stelle ab. Anschließend entschlüsselt ein Schlüsselwiederherstellungs-Agent den privaten Schlüssel der verschlüss-
elten Datei und sende das Zertifikat und den privaten Schlüssel wieder an den Benutzer zurück.

Im Einzelnen gestaltet sich der Prozess der Schlüsselwiederherstellung wie folgt:

1. Die Zertifikatverwaltung für die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, ermittelt die Seriennummer
des Zertifikats. Wahrscheinlich haben Sie sich die Seriennummer nicht gemerkt, so dass Sie das Zertifikat-Snap-
In verwenden müssen, um nach dem mit dem privaten Schlüssel des Benutzers verbundenen Zertifikat zu suchen
und die Seriennummer abzurufen.

2 Die Zertifikatvorlage extrahiert den verschlüsselten privaten Schlüssel und das Zertifikat aus der Datenbank der
Zertifizierungsstelle mithilfe des Befehlszeilenprogramms Certutil.exe. Bei dem Exportformat des privaten
Schlüssel und des Zertifikats handesl es sich um eine PKCS #7-Datei. Die Datei wird mithilfe des öffentlichen
Schlüssels des Schlüsselwiederholungs-Agenten verschlüsselt. Wenn die Zertifikatverwaltung im ersten Schritt
z. B. 11593dbc000000000006 als Seriennummer des Zertifikats identifiziert hat, kann der Schlüssel mit dem
folgenden Befehl in einer Datei mit dem Namen Recovered.pfx wiederhergestellt werden:

certutil -gekey 11593dbc000000000006 recovered.pfx

Hinweis
Die verschlüsselten PKCS #7-Dateien in der Datenbank, die als Blobs bezeichnet werden, enthalten den Aussteller-
namen und die Seriennummer aller KRA-Zertifikate, um die Schlüsselwiederherstellungs-Angenten während der
Wiederherstellung identifizieren zu können.

3. Die Zertifikatverwaltung sendet die PKCS #7-Datei an den Schlüsselwiederherstellungs-Agenten. Weil die PKCS #7-
Datei so verschlüsselt ist, dass nur der definierte Schlüsselwiederherstellungs-Agent das verschlüsselte Zerti-
fikat und den privaten Schlüssel wiederherstellen kann, sind keine weiteren Sicherheitsmaßnahmen für die Über-
tragung erforderlich.


4. Der Schlüsselwiederherstellungs-Agent verwendet den Befehl Certutil -RecoverKey, um den privaten Schlüssel und
das Zertifikat aus der verschlüsselten PKCS #7-Datei wiederherzustellen. Dieser Schritt sollte auf einer sicheren
Arbeitsstation ausgeführt werden, die auch als Wiederherstellungsstation bezeichnet wird Während des Wiederherst-
stellungsprozesses weist der Schlüsselwiederherstellungs-Agent ein Kennwort zu, das der Benutzer beim Importieren
des Zertifikats angeben muss. Der private Schlüssel und das Zertifikat werden in einer verschlüsselten PKCS #12-
Datei gespeichert.


5. Anschließend stellt der Schlüsselwiederherstellungs-Agent die PKCS #12-Datei für den Benutzer bereit, der das vom
Schlüsselwiederherstellungs-Agent zugewiesene Kennwort angibt und das Zertifikat und den privaten Schlüssel mit-
hilfe des Zertifikat-Snap-Ins in den Zertifkatspeicher importiert.


Hinweis
Wenn Ihre Organisation bereit ist, einer einzigen Person mit sehr vielen Befugnissen zu vertrauen, können Sie die Funk-
tion der Zertifikatverwaltung und des Schlüsselwiederherstellungs-Agenten ausführen.

Noch einfacher können Sie die Schlüsselwiederherstellung mithilfe des Key Recovery Toll (krt.exe) der Windows
Server 2003 Resource Kit-Tools ausführen. Dieses grafische Tool ermöglicht einem Administrator das Ausführen
folgender Aufgaben:

Durchsuchen der Datenbank der Zertifizierungsstelle nach archivierten Schlüsseln

Anzeigen des Schlüsselwiederherstellungs-Agenten für einen bestimmten archivierten Schlüssel

Abrufen des verschlüsselten Blobs

Entschlüsseln des Blobs und Festlegen eines Kennworts für die ausgegebene PFX-Datai

Die Windows Server 2003 Resource Kit Tools stehen als Download unter http:\\www.microsoft.com\ zur Verfügung.

Die privaten Schlüssel eines Schlüsselwiederherstellungs-Agenten können missbraucht werden, um die privaten
Schlüssel anderer Benutzer aus einem Archiv zu stehlen. Schützen Sie diese Schlüssel, indem Sie einen dedizierten
Offlinecomputer verwenden, um das Benutzerprofil des Schlüsselwiederherstellungs-Agenten zu speichern, und verwe-
nden Sie diesen Computer für alle Schlüsselwiederherstellungsaufgaben. Außderm sollten Sie die KRA-Zertifikate
und die zugehörigen privaten Schlüssel aus dem Benutzerprofil des Schlüsselwiederherstellungs-Agenten entfernen.
Wenn Sie die Schlüssel aus dem Benutzerprofil des Schlüsselwiederherstellungs-Agenten exportieren und nur im-
portieren, wenn sie für die Wiederherstellung benötigt werden, verringern Sie dadurch die Wahrscheinlichkeit eines
Missbrauchs der Wiederherstellungsfunktion. Schließlich sollten Sie auch eine sichere Methode für das Übermitteln
der wiederhergestellten privaten Schlüssel an den ursprünglichen Eigentümer entwickeln und die PKCS #12-Datei lö-
schen, um zu verhindern, dass das Zertifikat und der private Schlüssel künftig importiert werden können.

Sie müssen sich des potenziellen Missbrauchs der Schlüsselwiederherstellung bewusst sein. Viele Unternehmen ver-
trauen diese Funktion nicht einmal Netzwerkadministratoren an, weil diese dann in der Lage wären, Dateien zu ent-
schlüsseln, die von einzelnen Benutzern mit höheren Sicherheitsfunktionen (wie z. B. Manager) erstellt wurden. Viele
Unternehmen verwenden ein dediziertes Benutzerkonto, das als Datenwiederherstellungs-Agent fungiert. Dieses Konto
erfordert möglicherweise eine Smartcard für die Anmeldung und kann auch mit einem Kennwort deaktiviert werden,
das an einem sicheren Ort, z. B. in einem Safe, aufbewahrt wird. Einige Unternehmen teilen das Kennwort sogar in
zwei oder drei Teile auf und vertrauen zwei oder drei Einzelpersonen jeweils nur einen Teil des Kennwort an. Auf diese
Weise wird sichergestellt, dass keine Einzelperson den Datenwiederherstellungs-Agenten aktivieren kann.

Außer geheimen Absprachen können Sie die Wahrscheinlichkeit eines Missbrauchs des Wiederherstellungsprozesses
verringer, indem Sie das dem verloren gegangenen Schlüssel zugeordnete Zertifikat sofort nach dem Wiederherstellen
der Daten sperren. Wenn beispielsweise ein Laptopcomputer gestohlen wurde und der Benutzer über verschlüsselte
Dateien auf einer Netzwerkfreigabe verfügt, sollten Sie den privaten Schlüssel wiederherstellen, die Dateien entschlü-
sseln und dann das Zertifikat sperren. Stellen Sie anschließend ein neues Zertifikat für den Benutzer aus, damit er
die Dateien erneut verschlüssel kann. Nachdem Sie das Zertifikat gesperrt haben, kann das Schlüsselpaar nicht mehr
für die Verschlüsselung oder zum digitalen Signieren verwendet werden. Der private Schlüssel kann zwar weiterhin
zum Entschlüsseln von zuvor verschlüsselten Dateien verwendet werden, aber weitere Versuche, Deiten mithilfe des
öffentlichen Schlüssels zu verschlüsseln, schlagen während des Zertifizierungsprozesses fehl.

Praktische Übung: Exportieren und Wiederherstellen von Schlüsseln

In dieser Übung erstellen Sie mehrere Zertifikate mithilfe unterschiedlicher Methoden. Anschließend sperren Sie ein
Zertifikat und veröffentlichen eine Zertifkatsperrliste.

Übung 1: Exportieren von Schlüsseln

In dieser Übung exportieren Sie ein Zertifikat, damit Sie es zu einem späteren Zeitpunkt wiederherstellen können.

1. Melden Sie sich mit dem Administratorkonto an Computer1 bei der Domäne cohowinery.com an.
   
   
2. Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
   
   
3. Geben Sie mmc.exe ein, und klicken Sie dann auf OK.
   
   
4. Klicken Sie in der leeren MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.
   
   
5. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
   
   
6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen unter Verfügbare eigenständigte Snap-Ins
   auf Zertifikate, und klicken Sie dann auf Hinzufügen.
   
   
7. Klicken Sie im Dialogfeld Zertifikate auf Eigenes Benutzerkonto, klicken Sie auf Fertig stellen, und klicken
   Sie dann auf Schließen, um das Dialogfeld Eigenständiges Snap-In hinzufügen zu schließen.
   
   
8. Erweitern Sie Zertifikate, und erweitern Sie dann Eigene Zertifikate. Klicken Sie auf Zertifikate. Klicken Sie
   mit der rechten Maustaste auf das letzte Zertifikat, klicken Sie auf Alle Task, u.klicken Sie dann auf Exportieren.
   
   
9. Klicken Sie auf der Seite Willkommen auf Weiter.
   
   
10. Klicken Sie auf der Seite Privaten Schlüssel exportieren auf Ja, privaten Schlüssel exportieren. Klicken Sie
    auf Weiter.
    
    
11. Aktivieren Sie auf der Seite Exportdateiformat das Kontrollkästchen Wenn möglich, alle Zertifikate im Zerti-
    fizierungspfad einbeziehen, stellen Sie sicher, dass die Option Verstärkte Sicherheit aktivieren aktiviert ist,
    und klicken Sie dann auf Weiter.
    
12. Geben Sie auf der Seite Kennwort ein sicheres Kennwort in die Felder Kennwort und Kennwort bestätigen
    ein. Klicken Sie auf Weiter.
    
    
13. Geben Sie auf der Seite Exportdatei den Eintrag C:\mycert.pfx ein, und klicken Sie dann auf Weiter.
    
    
    Tipp: Für exportierte Zertifikate wird das PFX-Dateiformat (Personal Information Exchange, Privater Informations-
    austausch) verwendet. Eine andere Bezeichnung hierfür ist PKCS #12.
    
    
14. Die Seite Fertigstellen des Assistenten wird angezeigt (siehe untere Abbildung). Klicken Sie auf Fertig stellen,
    und klicken Sie dann im Dialogfeld Zertifikatexport-Assistent auf OK, um zu bestätigen, dass der Exportvorgang
    erfolgreich ausgeführt wurde.
    
    Bild von Seite 454
    
    
15. Bleiben Sie an Computer1 angemeldet, und lassen Sie das Zertifikate-Snap-In geöffnet. Sie verwenden die Kon-
    sole auch in Übung 2.

Übung 2: Wiederherstellen von exportierten Schlüsseln

In dieser Übung löschen Sie ein Zertifikat und stellen es anschließend wieder her.

1. Erweitern Sie im Zertifikat-Snap-In die Struktur von Zertifikate, und erweitern Sie dann Eigene Zertifikate. Kli-
   cken Sie auf Zertifikate. Klicken Sie mit der rechten Maustaste auf das letzte Zertifikat, und klicken Sie dann auf
   Löschen.
   
   
2. Klicken Sie bei entsprechender Aufforderung auf Ja.
   
   
3. Klicken Sie mit der rechten Maustaste auf Zertifikate, klicken Sie auf Alle Task, und klicken Sie dann auf
   Importieren.
   
   
4. Klicken Sie auf der Seite Willkommen auf Weiter.
   
   
5. Geben Sie im Feld Dateiname den Eintrag C:\mycert.pfx ein. Klicken Sie auf Weiter.
   
   
6. Geben Sie im Feld Kennwort das in Übung 1 angegebene sichere Kennwort ein. Klicken Sie auf Weiter.
   
   
7. Klicken Sie auf der Seite Zertifikatspeicher auf Zertifikatspeicher automatisch auswählen (auf dem Zertifi-
   katstyp basierend) (siehe untere Abbildung). Klicken Sie aus Weiter.
   
   Bild von Seite 455
   
8. Klicken Sie auf Fertig stellen. Klicken Sie bei entsprechender Aufforderung auf OK.
   
   
9. Drücken Sie F5, um die Anzeige der persönlichen Zertifikate zu aktualisieren. Das Zertifikate wurde wiederher-
   gestellt.

Übung 3: Konfigurieren der Schlüsselarchivierung

In dieser Übung erstellen Sie ein Benutzerkonto für die Schlüsselwiederherstellung, aktivieren die Schlüsselarchivierung
auf Computer1 und erstellen anschließend eine Zertifikatvorlage, die den privaten Schlüssel automatisch archiviert.
Im ersten Verfahren erstellen Sie ein Benutzerkonto, das als Schlüsselwiederherstellung-Agent fungiert, und anschlie-
ßend erteilen Sie dem Benutzer die Berechtigungen, die zum Zugreifen auf die Zertifikatvorlage erforderlich sind.

1. Melden Sie sich mit dem Administratorkonto an Computer1 bei der Domäne cohowinery.com an.
   
   
2. Öffnen Sie Active Directory-Benutzer und -Computer. Erstellen Sie einen neuen Benutzer mit dem Namen
   KeyRecoveryUser. Übernehmen Sie die anderen Standardeinstellungen für das Benutzerkonto, und schließen
   Sie Active Directory-Benutzer und -Computer.
   
   
3. Öffnen Sie Active Directory-Standorte und -Dienste. Klicken Sie auf Active Directory-Standorte und
   Dienste, und klicken Sie im Menü Ansicht auf Dienstknoten anzeigen.
   
   
4. Erweitern Sie Services, erweitern Sie Public Key Services, und klicken Sie dann auf Certificate Templates.
   Klicken Sie mit der rechten Maustaste auf KeyRecoveryAgent, und klicken Sie dann auf Eigenschaften.
   
   Hinweis: In dieser Übung wird das Snap-In Acitve Directory-Standorte und -Dienste zum Zugreifen auf Zertifi-
   katvorlagen verwendet, um Sie mit dem Tool vertraut zu machen. Es stellt dieselben Funktionen bereit, die Ihnen
   auch zur Verfügung stehen, wenn Sie direkt das Zertifikatvorlagen-Snap-In laden.
   
   
5. Klicken Sie auf die Registerkarte Sicherheit. Erteilen Sie dem Benutzer KeyRecoveryUser die Berechtigung
   "Lesen" und "Registrieren", und klicken Sie dann auf OK.
   
   Der Schlüsselwiederherstellungs-Agent muss wie jeder andere Benutzer für die Zertifikatvorlage Schlüsselwied-
   erherstellungs-Agent über die Berechtigungen "Lesen" und "Registrieren" verfügen, damit ein Zertifikat für ihn
   ausgestellt werden kann.
   
   Vorsicht: Registrieren Sie Benutzer nicht automatisch für KRA-Zertifikate, weil dieses Zertifikat nur in sehr be-
   grenztem Maße verfügbar sein sollte. Wenn Sie die automatische Registrierung für diese Zertifikat verwenden,
   könnte dies Verwirrung bei Zertifizierungstellenadministratoren stiften, wenn die automatische Registrierung ver-
   sehentlich ausgelöst wird, und dies könnte wiederum zu zusätzlichen KRA-Zertifikaten führen.
   
   
6. Schließen Sie Active Directory-Standorte und -Dienste.
   
   Bis jetzt haben Sie einen Benutzer erstellt, der als Schlüsselwiederherstellung-Agent fungieren soll, und diesem
   Benutzer die erforderlichen Berechtigungen für Zertifikatvorlagen zugewiesen. Im nächsten Verfahren konfigurieren
   Sie die Zertifikatvorlage Schlüsselwiederherstellung-Agent, damit diese ausgestellt werden kann, und anschl-
   ießend fordern Sie ein auf dieser Vorlage basierendes Zertifikat an.

1. Öffnen Sie die Konsole der Zertifizierungsstelle. Erweitern Sie Computer1, und klicken Sie dann mit der rechten
   Maustaste auf den Knoten Zertifikatvorlagen. Klicken Sie auf Neu, und klicken Sie dann auf Auszustellende
   Zertifiikatvorlage.
   
   
2. Klicken Sie im Dialogfeld Zertifikatvorlagen aktivieren und Schlüsselwiederherstellungs-Agent, und klicken
   Sie dann auf OK.
   
   
3. Lassen Sie die Konsole der Zertifizierungsstelle geöffnet, und öffnen Sie Internet Explorer. Geben Sie in die Adre-
   ssliste Folgendes ein http:\computer1/certsrv.
   
   
4. Geben Sie im Dialogfeld Verbindung zu Computer1. Cohowinery.Com Authentication herstellen den Be-
   nutzernamen KeyRecoveryUser und das zuvor in dieser Übung für das Konto erstelle Kennwort ein. Wenn
   in Internet Explorer eine Meldung angezeigt wird, dass der Inhalt blockiert wird, klicken Sie auf die Schaltfläche
   Hinzufügen, und fügen Sie http://computer1 zur Liste der vertrauenswürdigen Sites hinzu.
   
   
5. Klicken Sie auf der Willkommenseite der Zertifikatdienste auf Zertifikat anfordern.
   
   
6. Klicken Sie auf der Website Zertifikat anfordern auf Erweiterte Zertifikatanforderung.
   
   
7. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Aufforderung an diese Zertifizierungs-
   stelle erstellen und einreichen.
   
   
8. Klicken Sie im Feld Zertifikatvorlage auf Schlüsselwiederherstellungs-Agent, und klicken Sie dann auf
   Einsenden.
   
   
9. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja. Lassen Sie Internet Explorer geöffnet.
   
   Aufgrund der hohen Sicherheitsstufe dieses Zertifikats muss das KRA-Zertifikat vom Zertifizierungsmanager ge-
   nehmigt werden. Im folgenden Verfahren genehmigen Sie das ausstehende KRA-Zertifikat und installieren es
   anschließend.

1. Wechseln Sie wieder zur Konsole der Zertifizierungsstelle zurück.
   
   
2. Erweitern Sie Computer1, und klicken Sie dann auf den Knoten Ausstehende Anforderungen. Klicken Sie mit
   der rechten Maustaste auf das ausstehende KRA-Zertifkat, klicken Sie auf Alle Task, und klicken Sie dann auf
   Ausstellen.
   
   
3. Verlassen Sie die Konsole der Zertifizierungsstelle, und wechseln Sie zu Internet Explorer. Geben Sie in die Ad-
   ressliste Folgendes ein http://computer1/certsrv.
   
   Hinweis: Zum Ausführen der oben angeführten Schritte müssen Sie denselben Computer verwenden, der auch
   zum Erstellen der Anforderung verwendet wurde. Der Grund dafür ist, dass die Informationen des ausstehenden
   Zertifikats als Cookie gespeichert werden.
   
   
4. Wählen Sie auf der Seite Willkommen die Option Status ausstehender Zertifikatanforderungen anzeigen
   aus.
   
   
5. Klicken Sie auf der Seite Status ausstehender Zertifikatanfordeurngen anzeigen auf Schlüsselwiederherst-
   ellungs-Agent Zertifikat.
   
   
6. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.
   
   
7. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja.
   
   
8. Schließen Sie Internet Explorer.
   
   Der Schlüsselwiederherstellung-Agen ist fast fertig. Im letzten Schritt dieses Prozesses konfigurieren Sie die
   Zertifikatdienste für die Verwendung des neu konfigurierten KRA-Zertifikats, und anschließend erstellen Sie eine
   neue für die Schlüsselarchivierung konfigurierte Zertifikatvorlage.

1. Wechseln Sie wieder zur Konsole der Zertifizierungsstelle zurück.
   
   
2. Klicken Sie mit der rechten Maustaste auf Computer1, und klicken Sie dann auf Eigenschaften.
   
   
3. Klicken Sie auf der Registerkarte Wiederherstellungs-Agenten auf Schlüssel archivieren, und klicken Sie
   dann auf Hinzufügen.
   
   
4. Wählen Sie im Dialogfeld Schlüsselwiederherstellungs-Agent-Auswahl das KRA-Zertifikat aus (siehe untere
   Abbildung), und klicken Sie dann auf OK.
   
   Bild von Seite 458
   
   
5. Klicken Sie auf der Seite Wiederherstellungs-Agenten auf Übernehmen, und klicken Sie dann auf Ja, um die
   Zertifikatdienste neu zu starten.
   
   Beachten Sie, dass der Status des Zertifikats jetzt Gültig ist.
   
   
6. Klicken Sie auf OK.
   
   
7. Klicken Sie im Zertifizierungsstellen-Snap-In mit der rechten Maustaste auf den Knoten Zertifikatvorlagen, und
   klicken Sie dann auf Verwalten.
   
   
8. Klicken Sie in der Konsole Zertifikatvorlagen mit der rechten Maustaste auf die Zertifikatvorlage Benutzer, und
   klicken Sie dann auf Doppelte Vorlage.
   
   
9. Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann im Feld Vorlagenanzeigename Folgendes
   ein: User-Achived Key.
   
   
10. Klicken Sie auf die Registerkarte Anforderungsverarbeitung, aktivieren Sie das Kontrollkästchen Privaten
    Schlüssel für die Verschlüsselung archivieren, und klicken Sie dann auf OK.
    
    
11. Schließen Sie die Konsole Zertifikatvorlagen, und öffnen Sie die Konsole Zertifizierungsstelle.
    
    
12. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen, klicken Sie auf Neu, und klicken Sie
    dann auf Auszustellende Zertifikatvorlage.
    
    
13. Klicken Sie auf die Vorlage User-Achived Key, und klicken Sie dann auf OK.

Alle Schlüssel, die den mithilfe der Zertifkatvorlage User-Archived Key ausgestellten Zertifikaten zugeordnet sind,
werden jetzt mit dem digitalten Zertifikat des Schlüsselwiederherstellung-Agenten verschlüsselt und in der Datenbank
der Zertifizierungsstelle gespeichert. Wenn Benutzer den diesem Zertifikat zugeordneten privaten Schlüssel verlieren,
kann der Schlüsselwiederherstellungs-Agent die zugehörigen Schlüssel aus der Datenbank der Zertifizierungsstelle
abrufen.

Erstellt von: Haßlinger Stefan
Im: Jahr 2006