356 Kapitel 7: Active Directory-Zertifikatdienste
unter dem Knoten Zuweisen von Benutzerrechten die passenden Benutzerkonten oder Grup-
pen zur Richtlinie Sichern von Dateien und Verzeichnissen hinzufügen (Abbildung 7.6).
Die Rollentrennung wird Zertifizierungsstelle für Zertifizierungsstelle konfiguriert. Die
Berechtigungen, die im Rahmen einer Rollentrennung vergeben werden, werden in einer
Zertifizierungsstellenhierarchie nicht vererbt. Eine Gruppe, der auf der Stammzertifizie-
rungsstelle zum Beispiel die Berechtigung Zertifikate ausstellen und verwalten zugewiesen
wurde, erhält nicht automatisch auch auf einer untergeordneten Zertifizierungsstelle die
Berechtigung Zertifikate ausstellen und verwalten. Die im Rahmen der Rollentrennung ver-
gebenen Berechtigungen werden nicht durch Gruppenrichtlinien zugewiesen. Wenn Sie in
Ihrer Organisation für eine kleine Anzahl von Zertifikatvorlagen eine strenge Rollentren-
nung einführen wollen, bietet es sich an, speziell für diese Vorlagen eine ausstellende Zerti-
fizierungsstelle bereitzustellen. Diese Lösung ist durchaus sinnvoll, weil gewöhnlich nur
wenige Zertifikatvorlagen so sorgfältig geschützt werden müssen, dass sie den mit einer
Rollentrennung verbundenen Verwaltungsaufwand rechtfertigen. Wenn Sie diese Lösung
wählen, entfernen Sie diese sensiblen Vorlagen von den anderen Zertifizierungsstellen Ihrer
Organisation.
Weitere Informationen Mehr zur Rollentrennung
Weitere Informationen über die Rollentrennung finden Sie in Kapitel 13, „Rollentrennung“,
des Buchs Windows Server 2008 – PKI- und Zertifikat-Sicherheit von Brian Komar (Micro-
soft Press, 2008).
Schlüsselarchivierung und Schlüsselwiederherstellung
Eine Archivierung der Schlüssel ermöglicht die Wiederherstellung eines privaten Schlüssels,
falls der private Schlüssel eines Benutzers beschädigt wird oder verloren geht. Eine Schlüs-
selwiederherstellung wird zum Beispiel erforderlich, wenn ein Benutzerprofil versehentlich
gelöscht wird, eine Festplatte ausfällt oder beschädigt wird, eine Smartcard versagt oder
wenn ein Computer gestohlen wird oder verloren geht. Einige dieser Situationen können Sie
durch die Aktivierung der Serverspeicherung von Anmeldeinformationen vermeiden. Wenn
Sie in der Richtlinie Zertifikatdiensteclient – Serverspeicherung von Anmeldeinformationen
die Serverspeicherung von Anmeldeinformationen aktivieren, werden private Schlüssel in
den Active Directory-Domänendiensten gespeichert.
Sie müssen die Zertifikatvorlagen so konfigurieren, dass die Schlüsselarchivierung unter-
stützt wird. Dazu wählen Sie auf der Registerkarte Anforderungsverarbeitung im Eigen-
schaftsdialogfeld einer Zertifikatvorlage das Kontrollkästchen Privaten Schlüssel für die
Verschlüsselung archivieren (Abbildung 7.7). Über die Bearbeitung der Eigenschaften von
Zertifikatvorlagen erfahren Sie in Lektion 2 mehr.
Sie aktivieren die Schlüsselarchivierung, indem Sie in der Konsole Zertifizierungsstelle das
Eigenschaftsdialogfeld der Zertifizierungsstelle öffnen, auf der Registerkarte Wiederherstel-
lungs-Agents die Option Schlüssel archivieren wählen und einen Schlüsselwiederherstel-
lungs-Agenten angeben (Abbildung 7.8). Geben Sie im Eingabefeld Anzahl der zu verwen-
denden Wiederherstellungs-Agenten die Zahl der Schlüsselwiederherstellungs-Agent-Zer-
tifikate an, die Sie auf der Zertifizierungsstelle installiert haben. Dadurch wird sichergestellt,
dass jeder Schlüsselwiederherstellungs-Agent private Schlüssel wiederherstellen kann.
Lektion 1: Verwalten und Warten von Zertifikatservern 357
Wenn Sie eine kleinere Zahl angeben, als Schlüsselwiederherstellungs-Agent-Zertifikate
installiert sind, wählt die Zertifizierungsstelle nach dem Zufallsprinzip diese Anzahl von
Schlüsselwiederherstellungs-Agent-Zertifikaten aus den verfügbaren Zertifikaten aus und
verschlüsselt die privaten Schlüssel mit diesen Zertifikaten. Das erschwert die Wiederher-
stellung, weil Sie erst herausfinden müssen, welches Schlüsselwiederherstellungs-Agent-
Zertifikat zur Verschlüsselung des privaten Schlüssels verwendet wurde, bevor Sie mit der
Wiederherstellung beginnen können.
Abbildung 7.7 Aktivieren der Archivierung privater Schlüssel
Abbildung 7.8 Aktivieren eines Schlüsselwiederherstellungs-Agenten

Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.