Autor: Uwe Gradenegger

Installation der Rollen-Dateien für die Zertifizierungsstelle

Seit Windows Server 2008 besteht die Installation der Zertifizierungsstellen-Rolle aus zwei Schritten:

  • Installation der Rollen-Dateien. Dieser Schritt wird nachfolgend beschrieben.
  • Konfiguration der Zertifizierungsstellen-Rolle.
„Installation der Rollen-Dateien für die Zertifizierungsstelle“ weiterlesen

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

„Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)“ weiterlesen

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

„Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel“ weiterlesen

Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?

Zertifizierungsstellen-Zertifikate haben ein definiertes Anfangs- und Enddatum, sodass es während des Lebenszyklus einer Zertifizierungsstelle unausweichlich ist, dass Zertifizierungsstellen-Zertifikate ablaufen.

Nachfolgend werden die Auswirkungen eines ablaufenden Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle beschrieben.

„Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "0x800b0101 (-2146762495 CERT_E_EXPIRED)"

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority)
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl.
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "0x800b0101 (-2146762495 CERT_E_EXPIRED)"“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)."

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The data is invalid. 0xd (WIN32: 13 ERROR_INVALID_DATA)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)."“ weiterlesen

Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle

Im Laufe der Lebenszeit einer Zertifizierungsstelle werden Zertifizierungsstellen-Zertifikate gemäß der Planung für deren Lebenszyklus erneuert. Hierbei kann optional ein neues Schlüsselpaar verwendet werden. Die vorigen Zertifizierungsstellen-Zertifikate laufen ab oder werden widerrufen.

Abgelaufene Zertifizierungsstellen-Zertifikate können unter Umständen zum Problem werden, wenn beispielsweise die zugehörigen privaten Schlüssel auf alten Hardware Security Modulen (HSM) gespeichert sind, und diese nur unter größeren Schwierigkeiten auf neue Hardware migriert werden können.

In einem solchen Fall kann es sinnvoll sein, alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen.

„Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle“ weiterlesen

Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen

Beim Betrieb einer Zertifizierungsstelle kann es vorkommen, dass alle ausgestellten Zertifikate für eine bestimmte Zertifikatvorlage erneuert werden müssen, beispielsweise aufgrund größerer Konfigurationsänderungen oder Wechsel der ausstellenden Zertifizierungsstelle. Nachfolgend wird ein Mechanismus beschrieben, mit dem dies automatisiert erreicht werden kann.

„Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen“ weiterlesen

Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen

Zu einem professionellen Betrieb einer Zertifizierungsstelle gehört auch die regelmäßige Erstellung von Sicherungen.

Nachfolgend wird beschrieben, welche Komponenten gesichert werden müssen und wie die dazugehörige Vorgehensweise aussieht.

„Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen“ weiterlesen

Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen

Zu einer Sicherung einer Zertifizierungsstelle gehört auch die Sicherung des privaten Schlüsselmaterials. Dessen Sicherung wird bewusst getrennt beschrieben, da diese gesondert erfolgen sollte und auch deren Sicherungen getrennt von denen der Zertifizierungsstelle aufbewahrt werden sollten.

„Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen“ weiterlesen

Durchführen der Notfallsignierung von Zertifikatsperrlisten

Die wichtigste Komponente eine PKI in Hinsicht auf die Verfügbarkeit ist nicht, wie häufig angenommen die Zertifizierungsstelle, sondern die Sperrlistenverteilpunkte. Sollte eine Zertifizierungsstelle nicht verfügbar sein, können zunächst lediglich keine neuen Zertifikate ausgestellt werden, die bereits ausgestellten Zertifikate können jedoch ungehindert weiter genutzt werden, solange deren Sperrstatus überprüfbar ist. Neben der reinen Verfügbarkeit der Sperrlistenverteilpunkte müssen die Sperrinformationen natürlich auch in Hinsicht auf ihre Signatur gültig sein. Sperrlisten haben ein definiertes Ablaufdatum, nachdem sie nicht mehr verwendet werden können. Ist nun eine Zertifizierungsstelle ausgefallen, kann sie auch keine neuen Sperrlisten mehr veröffentlichen. Für diesen Fall ist der Prozess der Notfalsignierung der Sperrlisten vorgesehen.

„Durchführen der Notfallsignierung von Zertifikatsperrlisten“ weiterlesen

Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?

Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.

„Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?“ weiterlesen

Welchen Einfluss hat der Import eines Stammstellenzertifikats in den "Untrusted Certificates" Speicher auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn ein Stammstellenzertifikat, welches eines der Zertifizierungsstellen-Zertifikate einer Zertifizierungsstelle ausgestellt hat, auf der Zertifizierungsstelle in den Speicher für nicht vertrauenswürdige Zertifikate (Untrusted Certificates) importiert wird.

Dieser Fall kann planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

„Welchen Einfluss hat der Import eines Stammstellenzertifikats in den "Untrusted Certificates" Speicher auf die Zertifizierungsstelle?“ weiterlesen

Abfragen gegen die Zertifizierungsstellen-Datenbank schlagen fehl mit Fehlermeldung "0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenario angenommen:

  • Man führt eine Abfrage gegen die Zertifizierungsstellen-Datenbank aus.
  • Die Abfrage schlägt mit folgender Fehlermeldung fehl:
CertUtil: -view command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Abfragen gegen die Zertifizierungsstellen-Datenbank schlagen fehl mit Fehlermeldung "0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank

Wenn die Archivierung privater Schlüssel aktiviert wurde, kann es unter Umständen erforderlich sein, diese Schlüssel aus der Zertifizierungsstellen-Datenbank zu exportieren und in ein anderes Format (PKCS#12, PFX) umzuwandeln, beispielsweise für eine Langzeitarchivierung.

Nachfolgend eine Beschreibung der Vorgehensweise für den Export einzelner oder aller archivierten Schlüssel sowie der Gewinnung der notwendigen Metainformationen.

„Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch