Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen

Zu einem professionellen Betrieb einer Zertifizierungsstelle gehört auch die regelmäßige Erstellung von Sicherungen.

Nachfolgend wird beschrieben, welche Komponenten gesichert werden müssen und wie die dazugehörige Vorgehensweise aussieht.

Die nachfolgenden Schritte sind bewusst über die Kommandozeile gelöst, damit sie in einem Sicherungs-Script automatisiert werden können.

Sicherung des privaten Schlüsselmaterials

Die Sicherung des privaten Schlüsselmaterials einer Zertifizierungsstelle wird bewußt nicht regelmäßig vorgenommen. Eine detailierte Beschreibung zu diesem Vorgang ist im Artikel "Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen" beschrieben.

Sicherung der Zertifizierungsstellen-Daten

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Zur regelmäßigen Sicherung einer Zertifizierungsstelle gehören folgende essentielle Komponenten:

  • Die Zertifizierungsstellen-Richtliniendatei (capolicy.inf).
  • Die ausgestellten Zertifikate, also Zertifizierungsstellen-Datenbank und falls eingerichtet die E-Mails aus dem SMTP Exitmodul.
  • Die Registry der Zertifizierungsstelle.

Diese Daten sind ausreichend, um die Zertifizierungsstelle im Notall wieder herstellen zu können. Darüber hinaus ist es sinnvoll, noch folgende Komponenten mit in die regelmäßige Sicherung aufzunehmen:

  • Die Registry der Zertifizierungsstelle in menschenlesbarem Format.
  • Eine Liste der auf der Zertifizierungsstelle veröffentlichen Sperrlisten.
  • Die Zertifizierungsstellen-Zertifikate (ohne private Schlüssel) und Sperrlisten (für die Durchführung einer Notfallsignierung).
  • Das Sicherheits-Ereignisprotokoll der Zertifizierungsstelle.
  • Die zur Zertifizierungsstelle gehörenden Zertifikatvorlagen in menschenlesbarem Format.
  • Die zur Zertifizierungsstelle gehörenden Active Directory Objekte
  • Zusätzlich Scripts und geplante Tasks, die für den Betrieb der Zertifizierungsstelle eingerichtet wurden (z.B. Kopierscripts für die Sperrlisten).
  • Falls vorhanden die Installations- und Konfigurationsdateien für das Hardware Security Modul.

Sicherung der Zertifizierungsstellen-Richtliniendatei (capolicy.inf)

Die Zertifizierungsstellen-Richtliniendatei (capolicy.inf) beschreibt grundlegende Konfigurationseinstellungen für eine Zertifizierungsstelle. Sie befindet sich unter C:\Windows\System32. Es genügt, eine Kopie der Datei zu erstellen.

Sicherung der Zertifizierungsstellen-Datenbank

Die Zertifizierungsstellen-Datenbank beinhaltet ein Protokoll aller durch die Zertifizierungsstelle ausgestellten und widerrufenen Zertifikate, sowie noch nicht beabeiteter, fehlgeschlagener oder abgelehnter Zertifikatanforderungen. Sofern aktiviert, werden auch die privaten Schlüssel der ausgestellten Zertifikate in verschlüsselter Forma archiviert.

Die Zertifizierungsstellen-Datenbank kann mit folgendem Kommandozeilenbefehl gesichert werden:

certutil -backupdb {Pfad-zur-Sicherung}

Optional kann anschließend eine Prüfung der Integrität der Sicherung der Zertifizierungsstellen-Datenbank vorgenommen werden.

Sicherung der Zertifizierungsstellen-Registry

Die Registry der Zertifizierungsstelle beinhaltet alle Konfigurationseinstellungen für die Zertifizierungsstelle. Sie befindet sich unter "HKLM\System\CurrentControlSet\Services\CertSvc". Sie kann mit folgendem Kommandozeilenbefehl gesichert werden:

reg export "HKLM\System\CurrentControlSet\Services\CertSvc" "{Pfad-zur-Sicherung}\CertSvc.reg"

Sicherung der Zertifizierungsstellen-Registry (in menschenlesbarem Format)

Der zuvor durchgeführte Exoport enthält die Einstellungen in maschinenlesbarer Form. Um während der Wiederherstellung einer Zertifizierungsstelle Einsicht in die Konfiguration erhalten zu können, ist es hilfreich, eine menschenlesbare Variante der Informationen vorzuhalten. Diese kann mit den folgenden Kommandozeilenbefehlen erstellt werden.

certutil -v -getreg > "{Pfad-zur-Sicherung}\GetReg.txt"
certutil -v -getreg CA > "{Pfad-zur-Sicherung}\GetReg_Ca.txt"
certutil -v -getreg CA\CSP > "{Pfad-zur-Sicherung}\GetReg_Ca_Csp.txt"

Sicherung der Zertifizierungsstellen-Zertifikate und Sperrlisten

Für die Notfallsignierung der Sperrlisten und der Wiederherstellung der Zertifizierungsstellen-Zertifikate bei Verwendung eines Hardware Security Moduls sollte der CertEnroll Ordner unterhalb C:\Windows\System32\CertSrv gesichert werden.

Sicherung des Sicherheits-Ereignisprotokolls der Zertifizierungsstelle

Sofern die Auditierung der Zertifizierungsstellen-Ereignisse korekt konfiguriert wurde, werden alle sicherheitsrelevanten Operationen der Zertifizierungsstelle in das Sicherheits-Ereignisprotokoll geschrieben. Wenn keine zentrale Sammlung der Ereignisprotokoll im Netzwerk implementiert ist, kann es sinnvoll sein, das Sicherheits-Ereignisprotokoll in die Sicherung aufzunehmen, um später forensische Analysen zu ermöglichen. Die Sicherung des Sicherheits-Ereignisprotokolls kann mit dem folgenden Kommandozeilenbefehl erfolgen:

wevtutil export-log Security "{Pfad-zur-Sicherung}\EventLog_Security.evtx"

Sicherung einer Liste der auf der Zertifizierungsstelle veröffentlichen Zertifikatvorlagen

Diese Information wird im Active Directory gespeichert, es kann jedoch sinnvoll sein, eine Liste der auf der Zertifizierungsstelle veröffentlichten Zertifikatvorlagen für eine späterer Verwendung mit zu sichern. Dies kan mit folgendem Windows PowerShell Befehl erreicht werden.

Get-CATemplate | Foreach-Object { $_.Name } | Out-File -FilePath "{Pfad-zur-Sicherung}\CATemplates.txt" –Encoding String –Force

Sicherung der zur Zertifizierungsstelle gehörenden Zertifikatvorlagen in menschenlesbarem Format

Um die aktuelle Konfiguration der auf die Zertifizierungsstelle gebundenen Zertifikatvorlagen zu sichern, kann auf Basis der zuvor erstellten Liste folgende Windows PowerShell Befehl verwendet werden:

Get-Content -Path "{Pfad-zur-Sicherung}\CATemplates.txt" | ForEach-Object { certutil -v -template $_ } {Pfad-zur-Sicherung}\$_.txt}

Weiterführende Links:

de_DEDeutsch