Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.
Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:
- Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
- Migration der Zertifizierungsstelle auf einen neuen Server
- Notfallsignierung der Sperrlisten auf einem anderen Computer
Die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Hardware Security Module (HSM) unterscheidet sich grundlegend und ist im Artikel "Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)" beschrieben.
Üblicherweise beinhaltet die Sicherung der Zertifizierungsstellen-Zertifikate alle verwendeten Zertifikate der Zertifizierungsstelle in einer einzigen Datei. Sollte sich die Sicherung auf mehrere Dateien erschließen, müssen die folgenden Schritte entsprechend wiederholt werden.
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Für die Wiederherstellung des Zertifizierungsstellen-Zertifikats wird eine zuvor erstellte Sicherung samt privater Schlüssel sowie das dazugehörige Passwort benötigt. Die Sicherung liegt üblicherweise im PKCS#12 Format (.p12, .pfx) vor. Auf dem Ziel-Computer wird die Managementkonsole für Zertifikate des Computerkontos (certlm.msc) geöffnet. Es wird mit Rechts auf "Personal" geklickt, dann "All Tasks" – "Import…".
Im nächsten Bildschirm wird "Next" geklickt.
Mit "Browse…" wird nun die Sicherungsdatei ausgewählt.
Im nachfolgenden Dialog wird der Filter auf "All Files (*.*) oder "Personal Information Exchange (*.pfx, *.p12) gestellt. Anschließend wird die Datei gesucht und geöffnet.
Nun kann mit "Next" der nächste Dialog aufgerufen werden.
Nun wird das Passwort für die Sicherungsdatei eingegeben.
Beim Import des Zertifikats sollte unbedingt darauf geachtet werden, dass der private Schlüssel als exportierbar markiert wird, um zukünftige Sicherungen zu ermöglichen. Man könnte aus vermeintlichen Sicherheitserwägungen dazu geneigt sein, den Schlüssel als nicht exportierbar zu markieren. Jedoch ist dies nur ein Pseudo-Schutz, da das Schlüsselmaterial dennoch verwendet werden kann, und ein Export durch die einschlägigen Werkzeuge auch möglich ist, wenn der Schlüssel nicht für den Export freigegeben ist.
Die Standardauswahl ("Personal") für die Speicherung des Zertifikats kann beibehalten werden.
Mit Klick auf "Finish" wird das Zertifizierungsstellen-Zertifikats nun wiederhergestellt.
War der Import erfolgreich, wird eine entsprechende Meldung erzeugt.
Die Sicherung der Zertifizierungsstellen-Zertifikate beinhaltet die gesamte Zertifikatkette, somit befinden sich nun auch eventuell die Stammzertifizierungsstellen-Zertifikate im "Personal" Ordner. Diese können geklöscht werden, da ohnehin keine privaten Schlüssel vorliegen. Wichtig sind die eigentlichen Zertifizierungsstellen-Zertifikate. Ob ein privater Schlüssel vorliegt, wird durch das Schlüsselsymbol angezeigt.
Weiterführende Links:
- Durchführen der Notfallsignierung von Zertifikatsperrlisten
- Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen neuen Server
- Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)
- Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen
5 Gedanken zu „Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel“
Kommentare sind geschlossen.