Zu einem professionellen Betrieb einer Zertifizierungsstelle gehört auch die regelmäßige Erstellung von Sicherungen.
Nachfolgend wird beschrieben, welche Komponenten gesichert werden müssen und wie die dazugehörige Vorgehensweise aussieht.
Die nachfolgenden Schritte sind bewusst über die Kommandozeile gelöst, damit sie in einem Sicherungs-Script automatisiert werden können.
Sicherung des privaten Schlüsselmaterials
Die Sicherung des privaten Schlüsselmaterials einer Zertifizierungsstelle wird bewußt nicht regelmäßig vorgenommen. Eine detailierte Beschreibung zu diesem Vorgang ist im Artikel "Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen" beschrieben.
Sicherung der Zertifizierungsstellen-Daten
Zur regelmäßigen Sicherung einer Zertifizierungsstelle gehören folgende essentielle Komponenten:
- Die Zertifizierungsstellen-Richtliniendatei (capolicy.inf).
- Die ausgestellten Zertifikate, also Zertifizierungsstellen-Datenbank und falls eingerichtet die E-Mails aus dem SMTP Exitmodul.
- Die Registry der Zertifizierungsstelle.
Diese Daten sind ausreichend, um die Zertifizierungsstelle im Notall wieder herstellen zu können. Darüber hinaus ist es sinnvoll, noch folgende Komponenten mit in die regelmäßige Sicherung aufzunehmen:
- Die Registry der Zertifizierungsstelle in menschenlesbarem Format.
- Eine Liste der auf der Zertifizierungsstelle veröffentlichen Sperrlisten.
- Die Zertifizierungsstellen-Zertifikate (ohne private Schlüssel) und Sperrlisten (für die Durchführung einer Notfallsignierung).
- Das Sicherheits-Ereignisprotokoll der Zertifizierungsstelle.
- Die zur Zertifizierungsstelle gehörenden Zertifikatvorlagen in menschenlesbarem Format.
- Die zur Zertifizierungsstelle gehörenden Active Directory Objekte
- Zusätzlich Scripts und geplante Tasks, die für den Betrieb der Zertifizierungsstelle eingerichtet wurden (z.B. Kopierscripts für die Sperrlisten).
- Falls vorhanden die Installations- und Konfigurationsdateien für das Hardware Security Modul.
Sicherung der Zertifizierungsstellen-Richtliniendatei (capolicy.inf)
Die Zertifizierungsstellen-Richtliniendatei (capolicy.inf) beschreibt grundlegende Konfigurationseinstellungen für eine Zertifizierungsstelle. Sie befindet sich unter C:\Windows\System32. Es genügt, eine Kopie der Datei zu erstellen.
Sicherung der Zertifizierungsstellen-Datenbank
Die Zertifizierungsstellen-Datenbank beinhaltet ein Protokoll aller durch die Zertifizierungsstelle ausgestellten und widerrufenen Zertifikate, sowie noch nicht beabeiteter, fehlgeschlagener oder abgelehnter Zertifikatanforderungen. Sofern aktiviert, werden auch die privaten Schlüssel der ausgestellten Zertifikate in verschlüsselter Forma archiviert.
Die Zertifizierungsstellen-Datenbank kann mit folgendem Kommandozeilenbefehl gesichert werden:
certutil -backupdb {Pfad-zur-Sicherung}
Optional kann anschließend eine Prüfung der Integrität der Sicherung der Zertifizierungsstellen-Datenbank vorgenommen werden.
Sicherung der Zertifizierungsstellen-Registry
Die Registry der Zertifizierungsstelle beinhaltet alle Konfigurationseinstellungen für die Zertifizierungsstelle. Sie befindet sich unter "HKLM\System\CurrentControlSet\Services\CertSvc". Sie kann mit folgendem Kommandozeilenbefehl gesichert werden:
reg export "HKLM\System\CurrentControlSet\Services\CertSvc" "{Pfad-zur-Sicherung}\CertSvc.reg"
Sicherung der Zertifizierungsstellen-Registry (in menschenlesbarem Format)
Der zuvor durchgeführte Exoport enthält die Einstellungen in maschinenlesbarer Form. Um während der Wiederherstellung einer Zertifizierungsstelle Einsicht in die Konfiguration erhalten zu können, ist es hilfreich, eine menschenlesbare Variante der Informationen vorzuhalten. Diese kann mit den folgenden Kommandozeilenbefehlen erstellt werden.
certutil -v -getreg > "{Pfad-zur-Sicherung}\GetReg.txt"
certutil -v -getreg CA > "{Pfad-zur-Sicherung}\GetReg_Ca.txt"
certutil -v -getreg CA\CSP > "{Pfad-zur-Sicherung}\GetReg_Ca_Csp.txt"
Sicherung der Zertifizierungsstellen-Zertifikate und Sperrlisten
Für die Notfallsignierung der Sperrlisten und der Wiederherstellung der Zertifizierungsstellen-Zertifikate bei Verwendung eines Hardware Security Moduls sollte der CertEnroll Ordner unterhalb C:\Windows\System32\CertSrv gesichert werden.
Sicherung des Sicherheits-Ereignisprotokolls der Zertifizierungsstelle
Sofern die Auditierung der Zertifizierungsstellen-Ereignisse korekt konfiguriert wurde, werden alle sicherheitsrelevanten Operationen der Zertifizierungsstelle in das Sicherheits-Ereignisprotokoll geschrieben. Wenn keine zentrale Sammlung der Ereignisprotokoll im Netzwerk implementiert ist, kann es sinnvoll sein, das Sicherheits-Ereignisprotokoll in die Sicherung aufzunehmen, um später forensische Analysen zu ermöglichen. Die Sicherung des Sicherheits-Ereignisprotokolls kann mit dem folgenden Kommandozeilenbefehl erfolgen:
wevtutil export-log Security "{Pfad-zur-Sicherung}\EventLog_Security.evtx"
Sicherung einer Liste der auf der Zertifizierungsstelle veröffentlichen Zertifikatvorlagen
Diese Information wird im Active Directory gespeichert, es kann jedoch sinnvoll sein, eine Liste der auf der Zertifizierungsstelle veröffentlichten Zertifikatvorlagen für eine späterer Verwendung mit zu sichern. Dies kan mit folgendem Windows PowerShell Befehl erreicht werden.
Get-CATemplate | Foreach-Object { $_.Name } | Out-File -FilePath "{Pfad-zur-Sicherung}\CATemplates.txt" –Encoding String –Force
Sicherung der zur Zertifizierungsstelle gehörenden Zertifikatvorlagen in menschenlesbarem Format
Um die aktuelle Konfiguration der auf die Zertifizierungsstelle gebundenen Zertifikatvorlagen zu sichern, kann auf Basis der zuvor erstellten Liste folgende Windows PowerShell Befehl verwendet werden:
Get-Content -Path "{Pfad-zur-Sicherung}\CATemplates.txt" | ForEach-Object { certutil -v -template $_ } {Pfad-zur-Sicherung}\$_.txt}
Deutsch 
English
6 Gedanken zu „Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen“
Kommentare sind geschlossen.