Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

By Patrick Gruenauer on 7. April 2017 • ( 7 Comments )

Nach der erfolgreichen Einrichtung einer CA sollte man sich Gedanken über die Sicherung machen. Eine Überwachung, wer was wann tut, kann auch nicht schaden. In diesem letzten Beitrag der Serie Active Directory Zertifikatsdienste beschäftige ich mich mit dem Thema Backup und Monitoring. Dieser Beitrag ist Teil 8 der Serie Active Directory Zertifikatsdienste.

Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

Sichern einer CA

Die Sicherung der Zertifizierungsstelle kann grafisch in certsrv.msc erfolgen. Ein Rechtsklick mit der Maustaste auf den Namen der CA – Alle Aufgaben – Zertifizierungsstelle sichern genügt. Dort kann ausgewählt werden, ob der private Schlüssel mitgesichert werden soll.

Wenn der private Schlüssel mitgesichert werden soll, dann wird dieser mit einem Passwort geschützt.

Nach Abschluss der Sicherung findet man die Dateien im angegeben Speicherort.

Eine Alternative dazu bietet der Befehl certutil.

Mit certutil die CA Datenbank und den privaten Schlüssel der CA sichern.

certutil -backup c:\OrdnerName

Mit certutil nur die Datenbank der CA sichern.

certutil -backupdb c:\OrdnerName

Überwachen der CA

Um zu überwachen, wer wann wo was tut, sind 2 Schritte erforderlich:

Überwachung in den Eigenschaften der CA aktivieren
Ändern der Lokalen Sicherheitsrichtlinie: Zertifizierungsdienste überwachen

Die Überwachung der CA aktiviert man in certsrv.msc: Die Eigenschaften der CA öffnen und auf den Reiter Überwachung klicken.

Als zweiten Schritt muss die Überwachung in der Lokalen Sicherheitsrichtlinie aktiviert werden. Dazu öffnet man secpol.msc und navigiert zu Erweiterte Überwachungsrichtlinienkonfiguration – Objektzugriff und aktiviert Zertifizierungsdienste überwachen (Erfolg, Fehler).