Für die Veschlüsselung von E-Mail Nachrichten verwenden Unternehmen üblicherweise den Secure / Multipurpose Internet Message Extensions (S/MIME) Standard und stellen ihren Benutzern hierfür entsprechende Zertifikate zur Verfügung.
Ein wichtiger Aspekt hierbei ist, dass die privaten Schlüssel der Benutzer – im Gegensatz zu den ansonsten meist verwendeten Signaturzertifikaten – zentral gesichert werden sollten. Eingehende Nachrichten sind für einen bestimmten privaten Schlüssel verschlüsselt und können nur von diesem auch wieder entschlüsselt werden. Somit muss unbedingt eine Sicherung dieser Schlüssel vorliegen – auch für die Synchronisierung auf mobile Endgeräte ist dies unabdingbar. Hierfür bieten die Microsoft Active Directory Certificate Services die Funktion der Archivierung privater Schlüssel (engl. Private Key Archival).
Was aber, wenn die Archivierung der privaten Schlüssel nicht eingerichtet wurde, und Benutzer bereits entsprechende Zertifikate beantragt haben?
Glücklicherweise ist es möglich, private Schlüssel – wenn auch mit entsprechendem Aufwand – auch noch nachträglich zu archivieren.
Voraussetzung hierfür sind:
- Auf der entsprechenden Zertifizierungsstelle wurde mindestens ein gültiges Key Recovery Agenten-Zertifikat eingerichtet.
- Die privaten Schlüssel wurden aus den Benutzerprofilen exportiert und liegen als PKCS#12 (PFX) Datei inklusive Passwort vor.
Der Import in die Zertifizierungsstelle kann dann mit folgendem Befehl erfolgen:
certutil [-p {Passwort>] -importKMS {Dateiname-PFX}
Weiterführende Links:
Externe Quellen
- certutil (Microsoft Corporation)
Deutsch 
English