Wie sicher ist die Einstellung "Allow private key to be exported" in den Zertifikatvorlagen?

PKI-Administratoren gehen häufig davon aus, dass die Option in der Zertifikatvorlage , den privaten Schlüssel nicht zum Export zu erlauben, verbindlich ist.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dem ist jedoch nicht so. Es handelt sich hierbei lediglich um eine Voreinstellung, welche der Antragsteller, wenn er die Zertifikatanforderung manuell stellt, jederzeit ändern kann.

Darüber hinaus ist auch ein als nicht exportierbar erzeugter Schlüssel nicht vor einem Export sicher. Hierfür existieren einschlägige Werkzeuge, um solche Zertifikate samt Schlüsseln zu exportieren.