Zertifikate können verloren gehen wenn das Benutzerprofil gelöscht wird, das Betriebssystem nicht mehr funktionstüchtig ist, die Festplatte ausfällt, der Computer gestohlen wird usw … Was tun wenn der Benutzer wichtige Daten verschlüsselt hat und diese Daten nicht mehr zugänglich sind? Die Lösung: Wiederherstellen des Schlüssels. Dieser Beitrag ist Teil 7 der Serie Active Directory Zertifikatsdienste.
Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA
Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen
Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen
Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats
Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents
Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents
Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA
Grundlagen
Ein Key Recovery Agent ist eine Person, die für die Wiederherstellung eines Zertifikats autorisiert ist. Da Key Recovery Agents mit vertraulichen Daten in Berührung kommen, sollten nur äußerst vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Um Schlüssel wiederzustellen, muss diese Person – in der Regel ein Administrator – ein Key Recovery Agent Zertifikat besitzen.
Um die Schlüsselwiederherstellung zu aktiveren sind 4 Schritte nötig:
- Konfigurieren und Ausstellen des Key Recovery Agent Zertifikats (Key Recovery Agent)
- Die Person, welche als Key Recovery Agent fungieren soll, bezieht das Zertifikat Key Recovery Agent
- CA Schlüsselarchivierung global aktivieren
- Schlüsselarchivierung in der Zertifikats-Vorlage aktivieren
Konfigurieren und Ausstellen des Key Recovery Agent Zertifikats
Zuerst sollte kontrolliert werden, welche Benutzer das Key Recovery Agent Zertifikat beziehen können. In meinem Fall dürfen Domänen-Admins als Key Recovery Agent auftreten. Für meine Test Umgebung ist das ausreichend. Hier können weitere Benutzer hinzugefügt werden.
Certtmpl.msc öffnen. Doppelklick auf die Vorlagen Key Recovery Agent und den Reiter Sicherheit wählen.
Für die Testumgebung deaktiviere ich bei Ausstellungsvoraussetzungen die Option “Genehmigung von Zertifikatsverwaltung der Zertifizierungsstelle”. Das “entkompliziert” die weiteren Schritte.
In certsrv.msc kann das Zertifikat ausgestellt werden. Klick der rechten Maustaste auf Zertifikatvorlagen – Neu – Auszustellende Zertifikatvorlage.
Key Recovery Agent wählen und mit OK bestätigen.
Das Zertifikat ist ausgestellt.
Key Recovery Agent Zertifikat beziehen
Die Person, welche als Key Recovery Agent bestimmt ist, öffnet certmgr.msc. Ich gehe im Folgenden davon aus, dass ein Administrator der Domäne diese Person ist und alles am CA Server ausgeführt wird. Klick der rechten Maustaste auf Eigene Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern…
2 x Weiter klicken.
Key Recovery Agent auswählen und auf Registrieren klicken.
Fertig. Das Zertifikat ist nun beim Benutzer in certmgr.msc unter den Eigenen Zertifikaten – Zertifikate zu finden.
CA Schlüsselarchivierung global aktivieren
Nun wird in certsrv.msc in den Eigenschaften der CA die Schlüsselarchivierung aktiviert. Dazu klickt man mit der rechten Maustaste auf den Namen der CA und wählt Eigenschaften. Dann auf den Reiter Wiederherstellung-Agents klicken und Schlüssel archivieren wählen auf Hinzufügen klicken und das Key Recovery Agent Zertifikat wählen.
Danach muss die CA neu gestartet werden.
Ein nochmaliger Check nach dem Neustart der CA zeigt das Zertifikat:
Schlüsselarchivierung in der Vorlage (z.B. Basis-EFS) aktivieren
Für die Archivierung muss in den Eigenschaften der Vorlage auch noch eine Einstellung vorgenommen werden. Ich verwende dazu die Vorlage wie sie in Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen konfiguriert wurde. Dazu öffnet man certtmpl.msc. Doppelklick auf die Vorlage – Anforderungsverarbeitung – Privaten Schlüssel für die Verschlüsselung archivieren aktivieren. Dann kommt sofort die Info, dass dies nur für zukünftig ausgestellte Zertifikate gilt.
Alle verloren gegangenen Schlüssel, welche auf diese Vorlage basieren können nun wiederhergestellt werden, aber nur ab jetzt, nicht für bereits ausgestellte Zertifikate dieser Vorlage.
Schlüsselwiederherstellung in Action
Petra hat ihren Schlüssel verloren. Dieser muss wiederhergestellt werden. Der Administrator benötigt zur Wiederherstellung die Seriennummer des archivierten Zertifikats.
Er öffnet die CA und klick auf Ausgestellte Zertifikate und auf Ansicht – Spalten hinzufügen/entfernen.
In der linken Spalte Archivierter Schlüssel wählen und auf Hinzufügen klicken und mit OK bestätigen.
Nun sieht die Ansicht so aus:
Jetzt doppelklickt man auf das zu wiederherstellende Zertifikat. Unter Details findet man die Seriennummer. Diese wird notiert.
Nun öffnet man die Windows PowerShell und führt certutil -getkey mit der Seriennummer aus.
certutil -getkey 000000000000000000000000000 outputblob
Zur Kontrolle sollte überprüft werden ob outputblob erfolgreich war.
dir outputblob
Jetzt kann der Schlüssel wiederhergestellt werden. Ein Speicherort muss angegeben werden. 2 x ein Kennwort eingeben. Die Schlüsseldatei wird kennwortgeschützt gespeichert.
certutil -recoverkey outputblob c:\OrdnerName\DateiName.pfx
Die PFX Datei ist gespeichert.
Die Datei muss dem Benutzer zur Verfügung gestellt werden und mit einem Doppelklick und der Eingabe des Kennworts in den Eigenen Zertifikaten importiert werden.
Fertig. Der Schlüssel ist wiederhergestellt.
Quelle: Technet “Recover a Lost Key”
Weiter gehts mit dem Artikel Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA
Categories: Cyber Security, Windows Server
My name is Patrick Gruenauer. From Austria.
SID-500.COM 
9 replies »