[Windows PKI] Zertifikat mittels “Key Recovery Agent” wiederherstellen

Grundlage für eine erfolgreiche Wiederherstellung ist eine korrekt konfigurierte PKI. Im dargestellten Fall läuft die PKI unter Windows Server 2008R2 direkt auf dem Domaincontroller (die Installation kann und sollte ab einer gewissen Größe des Unternehmens auf einem Memberserver (z.B. Enterprise-PKI ohne Offline-Root-CA oder eigenständige CA mit Offline-Root) installiert sein.

Weitere Voraussetzungen für eine erfolgreiche Zertifikatswiederherstellung ist die Einrichtung der Schlüsselarchivierung sowie eines “Key Recovery Agents”. Die Konfiguration dessen erläutere ich in den kommenden Tagen.

1. Step der Wiederherstellung:

Der Administrator der CA stellt das Zertifikat aus dem Archiv wieder her mittels dem folgenden Befehl:

CertUtil.exe -GetKey <Seriennummer des Zertifikats> <Dateiname>.pfx

Das Zertifikat wird als PKCS#7-Datei gespeichert, kann daher nicht als Zertifikat importiert werden. Es muss zuerst umgewandelt werden in ein PKCS#12-Zertifikat. Diese Aufgabe übernimmt nun der “Key Recovery Agent”.

Dieser öffnet die Datei ebenfalls mittels CertUtil.exe über folgenden Befehl:

CertUtil.exe -RecoverKey <Quell-PKCS#7-Datei>.pfx <Ziel-PKCS#12-Datei>.pfx

Die Quell-Datei ist dabei die erstellte Datei des CA-Administrators, die Ziel-Datei dann die Zertifikatsdatei, welche der Benutzer importieren wird.

Während der Erstellung der Datei muss der ”Key Recovery Agent” ein neues Passwort für die Verschlüsselung der Datei erstellen. Dies muss der Benutzer beim Import schlussendlich angeben.

Der Import des Zertifikats erfolgt beispielsweise über die Microsoft Management Console (zu öffnen via Start -> Suchfeld -> mmc). In der Konsole wird das Snap-In “Zertifikate” hinzugefügt (Datei -> Snap-In hinzufügen/entfernen) für das eigene Benutzerkonto.  In der Baumansicht nun zu “Eigene Zertifikate” -> “Zertifikate” navigieren und im Kontextmenü unter “Alle Aufgaben” den Menüpunkt “Importieren..” wählen.

 

Tagged , , , , , , , , , . Bookmark the permalink.

Comments are closed.