Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.
Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:
- Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
- Migration der Zertifizierungsstelle auf einen neuen Server
- Notfallsignierung der Sperrlisten auf einem anderen Computer
Die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Hardware Security Module (HSM) unterscheidet sich grundlegend und ist im Artikel „Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)" décrit.
Üblicherweise beinhaltet die Sicherung der Zertifizierungsstellen-Zertifikate alle verwendeten Zertifikate der Zertifizierungsstelle in einer einzigen Datei. Sollte sich die Sicherung auf mehrere Dateien erschließen, müssen die folgenden Schritte entsprechend wiederholt werden.
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Für die Wiederherstellung des Zertifizierungsstellen-Zertifikats wird eine zuvor erstellte Sicherung samt privater Schlüssel sowie das dazugehörige Passwort benötigt. Die Sicherung liegt üblicherweise im PKCS#12 Format (.p12, .pfx) vor. Auf dem Ziel-Computer wird die Managementkonsole für Zertifikate des Computerkontos (certlm.msc) geöffnet. Es wird mit Rechts auf „Personal“ geklickt, dann „All Tasks“ – „Import…“.
Im nächsten Bildschirm wird „Next“ geklickt.
Mit „Browse…“ wird nun die Sicherungsdatei ausgewählt.
Im nachfolgenden Dialog wird der Filter auf „All Files (*.*) oder „Personal Information Exchange (*.pfx, *.p12) gestellt. Anschließend wird die Datei gesucht und geöffnet.
Nun kann mit „Next“ der nächste Dialog aufgerufen werden.
Nun wird das Passwort für die Sicherungsdatei eingegeben.
Beim Import des Zertifikats sollte unbedingt darauf geachtet werden, dass der private Schlüssel als exportierbar markiert wird, um zukünftige Sicherungen zu ermöglichen. Man könnte aus vermeintlichen Sicherheitserwägungen dazu geneigt sein, den Schlüssel als nicht exportierbar zu markieren. Jedoch ist dies nur ein Pseudo-Schutz, da das Schlüsselmaterial dennoch verwendet werden kann, und ein Export durch die einschlägigen Werkzeuge auch möglich ist, wenn der Schlüssel nicht für den Export freigegeben ist.
Die Standardauswahl („Personal“) für die Speicherung des Zertifikats kann beibehalten werden.
Mit Klick auf „Finish“ wird das Zertifizierungsstellen-Zertifikats nun wiederhergestellt.
War der Import erfolgreich, wird eine entsprechende Meldung erzeugt.
Die Sicherung der Zertifizierungsstellen-Zertifikate beinhaltet die gesamte Zertifikatkette, somit befinden sich nun auch eventuell die Stammzertifizierungsstellen-Zertifikate im „Personal“ Ordner. Diese können geklöscht werden, da ohnehin keine privaten Schlüssel vorliegen. Wichtig sind die eigentlichen Zertifizierungsstellen-Zertifikate. Ob ein privater Schlüssel vorliegt, wird durch das Schlüsselsymbol angezeigt.
Liens complémentaires :
- Durchführen der Notfallsignierung von Zertifikatsperrlisten
- Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen neuen Server
- Restauration d'une autorité de certification à partir d'une sauvegarde (backup)
- Créer une sauvegarde (backup) de la clé privée d'une autorité de certification
Français 
Deutsch 
English
Les commentaires sont fermés.