SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Zertifikate können verloren gehen wenn das Benutzerprofil gelöscht wird, das Betriebssystem nicht mehr funktionstüchtig ist, die Festplatte ausfällt, der Computer gestohlen wird usw … Was tun wenn der Benutzer wichtige Daten verschlüsselt hat und diese Daten nicht mehr zugänglich sind? Die Lösung: Wiederherstellen des Schlüssels. Dieser Beitrag ist Teil 7 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Grundlagen

Ein Key Recovery Agent ist eine Person, die für die Wiederherstellung eines Zertifikats autorisiert ist. Da Key Recovery Agents mit vertraulichen Daten in Berührung kommen, sollten nur äußerst vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Um Schlüssel wiederzustellen, muss diese Person – in der Regel ein Administrator – ein Key Recovery Agent Zertifikat besitzen.

Um die Schlüsselwiederherstellung zu aktiveren sind 4 Schritte nötig:

  • Konfigurieren und Ausstellen des Key Recovery Agent Zertifikats (Key Recovery Agent)
  • Die Person, welche als Key Recovery Agent fungieren soll, bezieht das Zertifikat Key Recovery Agent
  • CA Schlüsselarchivierung global aktivieren
  • Schlüsselarchivierung in der Zertifikats-Vorlage aktivieren

Konfigurieren und Ausstellen des Key Recovery Agent Zertifikats

Zuerst sollte kontrolliert werden, welche Benutzer das Key Recovery Agent Zertifikat beziehen können. In meinem Fall dürfen Domänen-Admins als Key Recovery Agent auftreten. Für meine Test Umgebung ist das ausreichend. Hier können weitere Benutzer hinzugefügt werden.

Certtmpl.msc öffnen. Doppelklick auf die Vorlagen Key Recovery Agent und den Reiter Sicherheit wählen.

1.PNG

Für die Testumgebung deaktiviere ich bei Ausstellungsvoraussetzungen die Option “Genehmigung von Zertifikatsverwaltung der Zertifizierungsstelle”. Das “entkompliziert” die weiteren Schritte.

19.PNG

In certsrv.msc kann das Zertifikat ausgestellt werden. Klick der rechten Maustaste auf Zertifikatvorlagen – Neu – Auszustellende Zertifikatvorlage.

2.PNG

Key Recovery Agent wählen und mit OK bestätigen.

3.PNG

Das Zertifikat ist ausgestellt.

4.PNG

Key Recovery Agent Zertifikat beziehen

Die Person, welche als Key Recovery Agent bestimmt ist, öffnet certmgr.msc. Ich gehe im Folgenden davon aus, dass ein Administrator der Domäne diese Person ist und alles am CA Server ausgeführt wird. Klick der rechten Maustaste auf Eigene Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern…

5.PNG

2 x Weiter klicken.

Key Recovery Agent auswählen und auf Registrieren klicken.

6.PNG

Fertig. Das Zertifikat ist nun beim Benutzer in certmgr.msc unter den Eigenen Zertifikaten – Zertifikate zu finden.

13.PNG

CA Schlüsselarchivierung global aktivieren

Nun wird in certsrv.msc in den Eigenschaften der CA die Schlüsselarchivierung aktiviert. Dazu klickt man mit der rechten Maustaste auf den Namen der CA und wählt Eigenschaften. Dann auf den Reiter Wiederherstellung-Agents klicken und Schlüssel archivieren wählen auf Hinzufügen klicken und das Key Recovery Agent Zertifikat wählen.

15.PNG

Danach muss die CA neu gestartet werden.

16.PNG

Ein nochmaliger Check nach dem Neustart der CA zeigt das Zertifikat:

17.PNG

Schlüsselarchivierung in der Vorlage (z.B. Basis-EFS) aktivieren

Für die Archivierung muss in den Eigenschaften der Vorlage auch noch eine Einstellung vorgenommen werden. Ich verwende dazu die Vorlage wie sie in Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen konfiguriert wurde. Dazu öffnet man certtmpl.msc. Doppelklick auf die Vorlage – Anforderungsverarbeitung – Privaten Schlüssel für die Verschlüsselung archivieren aktivieren. Dann kommt sofort die Info, dass dies nur für zukünftig ausgestellte Zertifikate gilt.

18.PNG

Alle verloren gegangene Schlüssel, welche auf diese Vorlage basieren können nun wiederhergestellt werden, aber nur ab jetzt, nicht für bereits ausgestellte Zertifikate dieser Vorlage.

Schlüsselwiederherstellung in Action

Petra hat ihren Schlüssel verloren. Dieser muss wiederhergestellt werden. Der Administrator benötigt zur Wiederherstellung die Seriennummer des archivierten Zertifikats.

Er öffnet die CA und klick auf Ausgestellte Zertifikate und auf Ansicht – Spalten hinzufügen/entfernen.

20.PNG

In der linken Spalte Archivierter Schlüssel wählen und auf Hinzufügen klicken und mit OK bestätigen.

21.PNG

Nun sieht die Ansicht so aus:

22.PNG

Jetzt doppelklickt man auf das zu wiederherstellende Zertifikat. Unter Details findet man die Seriennummer. Diese wird notiert.

23.PNG

Nun öffnet man die Windows PowerShell und führt certutil -getkey mit der Seriennummer aus.

certutil -getkey 000000000000000000000000000 outputblob

24.PNG

Zur Kontrolle sollte überprüft werden ob outputblob erfolgreich war.

dir outputblob

25.PNG

Jetzt kann der Schlüssel wiederhergestellt werden. Ein Speicherort muss angegeben werden. 2 x ein Kennwort eingeben. Die Schlüsseldatei wird kennwortgeschützt gespeichert.

certutil -recoverkey outputblob c:\OrdnerName\DateiName.pfx

26.PNG

Die PFX Datei ist gespeichert.

27.PNG

Die Datei muss dem Benutzer zur Verfügung gestellt werden und mit einem Doppelklick und der Eingabe des Kennworts in den Eigenen Zertifikaten importiert werden.

Fertig. Der Schlüssel ist wiederhergestellt.

Quelle: Technet “Recover a Lost Key”

Weiter gehts mit dem Artikel Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


7 Comments

  1. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

  2. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

  3. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

  4. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

  5. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

  6. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com