Active Directory.pdf - Gattner

Implementieren der AD CS 669
Wurde der Schlüssel archiviert, kann er in einem Profil auf demselben oder einem anderen Computer
ohne Funktionalitätsverlust wiederhergestellt werden. Wurde beispielsweise das Profil auf einer
Arbeitsstation gelöscht, kann der Schlüssel in einem neuen Profil wiederhergestellt werden, woraufhin
auf alle verschlüsselten Daten zugegriffen werden kann.
Bei der Ausstellung von Zertifikaten können Sie den Export privater Schlüssel verhindern, sodass der
private Schlüssel nicht an einen neuen Speicherort kopiert werden kann. Dies erfolgt in der Regel bei
vertraulichen Zertifikaten, z.B. Zertifizierungsstellenzertifikaten, bei denen der Export des privaten
Schlüssels an einen anderen Speicherort und dessen Verwendung sehr negative Auswirkungen haben
können. Sie müssen jedoch das Risiko eines Schlüsselverlustes ohne Wiederherstellungsmethode mit
dem jeweiligen Wiederherstellungsaufwand abwägen. Ohne einen archivierten Schlüssel können Sie
ggf. nicht auf verschlüsselte Daten zugreifen.
Manuelle Schlüsselarchivierung
Falls das Zertifikat für die Unterstützung des Exports des privaten Schlüssels konfiguriert ist, können
einzelne Benutzer ihre Zertifikate und privaten Schlüssel mithilfe des MMC-Snap-Ins Zertifikate
exportieren. Während des Exports wird ein Schlüssel zum Verschlüsseln der Datei eingegeben, um
unbefugte Benutzer am Import der Datei zu hindern. Die verschlüsselte Datei kann anschließend, bis
sie benötigt wird, auf einem Wechseldatenträger abgelegt werden. Bei Bedarf kann der Schlüssel über
das MMC-Snap-In Zertifikate importiert werden. Es folgen Empfehlungen für die manuelle Schlüsselarchivierung:
• Wenn Sie einen Schlüssel manuell exportieren, müssen Sie zu seiner Absicherung die stärkstmögliche
Verschlüsselung wählen.
• Außerdem sollten Sie den Wechseldatenträger mit der verschlüsselten Datei physisch absichern,
um über das Kennwort hinaus für noch mehr Sicherheit zu sorgen.
• Wenn Sie einen Schlüssel für einen bestimmten Zweck vorübergehend importieren, müssen Sie
diesen nach dessen Erfüllung entfernen.
Die manuelle Schlüsselarchivierung kommt in Frage, wenn nur wenige Schlüssel archiviert werden
müssen. Im Allgemeinen benötigen Großunternehmen eine automatisierte Lösung für die Schlüsselarchivierung,
die zentral verwaltet werden kann.
Automatische Schlüsselarchivierung
Eine Zertifizierungsstelle unter Windows Server 2008 kann die Schlüsselarchivierung für die von ihr
ausgestellten Zertifikate übernehmen. Dieser Vorgang wird auch als Schlüsselübertragung bezeichnet.
Die Schlüsselarchivierung ist eine Funktion von Windows Server 2008 Enterprise und Datacenter
Edition.
Einrichten von Schlüsselwiederherstellungs-Agents Ein Schlüsselwiederherstellungs-Agent ist ein
Benutzer, der für die Zertifizierungsstelle archivierte Schlüssel wiederherstellen kann. Der erste
Schritt bei der Konfiguration der Schlüsselarchivierung ist die Einrichtung von Schlüsselwiederherstellungs-Agents.
In jedem Unternehmen darf es nur eine begrenzte Anzahl von Schlüsselwiederherstellungs-Agents
geben, die alle genehmigt werden müssen.
Schlüsselwiederherstellungs-Agents werden durch Ausstellen eines Schlüsselwiederherstellungs-
Agent-Zertifikats eingerichtet. Zu diesem Zweck enthält Windows Server 2008 die Zertifikatvorlage
Schlüsselwiederherstellungs-Agent. Konfigurieren Sie diese Zertifikatvorlage mit den entsprechenden
Berechtigungen für die Benutzer, die Sie für das Zertifikat registrieren möchten. Veröffentlichen
Sie anschließend die Zertifikatvorlage Schlüsselwiederherstellungs-Agent.