Active Directory.pdf - Gattner

672 Kapitel 17: Active Directory-Zertifikatdienste
Der erste Schritt bei der Wiederherstellung ist das Suchen für die Wiederherstellung in Frage kommender
Zertifikate und das Extrahieren des Wiederherstellungs-BLOB (Binary Large Object). Über
das MMC-Snap-In Zertifizierungsstelle oder das Dienstprogramm Certutil.exe können Sie das wiederherzustellende
Zertifikat finden. Zu diesem Zweck benötigt die Zertifikatverwaltung den allgemeinen
Namen (Common Name), Benutzerprinzipalnamen (UPN), Domänen- und Anmeldenamen, die
Seriennummer des Zertifikats oder den Zertifikatfingerabdruck. Über den Befehl certutil -getkey
können Sie eine Liste der für einen Benutzer ausgestellten Zertifikate
abrufen. Der Suchtext kann entweder der allgemeine Name (CN) des Benutzers, der Benutzerprinzipalname
(UPN) oder der Domänen-/Anmeldename sein. Wenn der Benutzer nur ein Zertifikat hat,
wird das BLOB für die Schlüsselwiederherstellung in den angegebenen Dateinamen extrahiert.
Wenn es mehrere Zertifikate für einen Benutzer gibt, wählen Sie im Befehl certutil als Suchtext die
Seriennummer oder den Fingerabdruck des Zertifikats, die beide das Zertifikat eindeutig identifizieren,
um das Wiederherstellungs-BLOB zu extrahieren.
Das Wiederherstellungs-BLOB ist das Zertifikat im PKCS #7-Format, dessen Inhalt verschlüsselt ist
und den öffentlichen Schlüssel enthält. Als Nächstes kann der Schlüsselwiederherstellungs-Agent den
privaten Schlüssel aus dem Wiederherstellungs-BLOB extrahieren. Die Ausgabe des Befehls certutil
-getkey gibt bei Bedarf die Schlüsselwiederherstellungs-Agents für ein Zertifikat an.
Um den privaten Schlüssel aus dem Wiederherstellungs-BLOB wiederherzustellen, ruft der Schlüsselwiederherstellungs-Agent
den Befehl certutil
-recoverkey auf. Dateiname ist das zuvor generierte Wiederherstellungs-BLOB.
Ausgabe.pfx ist ein allgemeiner Name einer Datei, die für die Ausgabe der Wiederherstellung
des privaten Schlüssels verwendet werden kann. Die Ausgabedatei hat das PKCS #12-Format
und muss die Erweiterung .pfx haben. Sie werden zur Eingabe eines Kennworts aufgefordert, um
die Ausgabedatei während ihrer Erstellung abzusichern. Beachten Sie ferner, dass das Zertifikat des
Schlüsselwiederherstellungs-Agents sich im lokalen Zertifikatspeicher befinden muss, in den die Wiederherstellung
erfolgt, da diese andernfalls fehlschlägt.
Hinweis Wenn das Zertifikat des Schlüsselwiederherstellungs-Agents mithilfe eines neuen CNG-Algorithmus
(CryptoAPI Next Generation) generiert wurde, muss dieser Algorithmus während der Wiederherstellung
über die Option -csp "für den kryptografischen Speicheranbieter" angegeben werden.
Importieren des wiederhergestellten Schlüssels Nachdem der private Schlüssel in einer Datei wiederhergestellt
wurde, kann der Benutzer ihn über das MMC-Snap-In Zertifikate oder das Dienstprogramm
Certutil in das Benutzerprofil importieren. Bei Verwenden von Certutil lautet der Befehl:
certutil -importPFX . Nach dem Import wird der private Schlüssel im Zertifikatspeicher
des Benutzers wiederhergestellt, sodass der Benutzer das Zertifikat wieder nutzen kann.
Verwalten von Zertifikaten in den AC CS
Die AD CS bieten mehrere Funktionen zum Verwalten von Zertifikaten. Zertifikatvorlagen dienen
zum Bestimmen von Zertifikateinstellungen, die während der Zertifikaterstellung von vielen Clients
verwendet werden können. Über die automatische Zertifikatregistrierung kann der gesamte Zertifikatregistrierungsprozess
automatisiert werden, sodass keine Endbenutzer- oder Administratoreingriffe
erforderlich sind. Mithilfe von Gruppenrichtlinieneinstellungen kann festgelegt werden, wie Zertifikate
von Clients akzeptiert werden. Und schließlich kann mit der Serverspeicherung von Anmeldeinformationen
gearbeitet werden, um Zertifikate zu unterstützen, wenn Benutzer mehrere Arbeitsstationen
nutzen.