356 Kapitel 7: Active Directory-Zertifikatdienste
unter dem Knoten Zuweisen von Benutzerrechten die passenden Benutzerkonten oder Grup-
pen zur Richtlinie Sichern von Dateien und Verzeichnissen hinzufügen (Abbildung 7.6).
Die Rollentrennung wird Zertifizierungsstelle für Zertifizierungsstelle konfiguriert. Die
Berechtigungen, die im Rahmen einer Rollentrennung vergeben werden, werden in einer
Zertifizierungsstellenhierarchie nicht vererbt. Eine Gruppe, der auf der Stammzertifizie-
rungsstelle zum Beispiel die Berechtigung Zertifikate ausstellen und verwalten zugewiesen
wurde, erhält nicht automatisch auch auf einer untergeordneten Zertifizierungsstelle die
Berechtigung Zertifikate ausstellen und verwalten. Die im Rahmen der Rollentrennung ver-
gebenen Berechtigungen werden nicht durch Gruppenrichtlinien zugewiesen. Wenn Sie in
Ihrer Organisation für eine kleine Anzahl von Zertifikatvorlagen eine strenge Rollentren-
nung einführen wollen, bietet es sich an, speziell für diese Vorlagen eine ausstellende Zerti-
fizierungsstelle bereitzustellen. Diese Lösung ist durchaus sinnvoll, weil gewöhnlich nur
wenige Zertifikatvorlagen so sorgfältig geschützt werden müssen, dass sie den mit einer
Rollentrennung verbundenen Verwaltungsaufwand rechtfertigen. Wenn Sie diese Lösung
wählen, entfernen Sie diese sensiblen Vorlagen von den anderen Zertifizierungsstellen Ihrer
Organisation.
Weitere Informationen Mehr zur Rollentrennung
Weitere Informationen über die Rollentrennung finden Sie in Kapitel 13, „Rollentrennung“,
des Buchs Windows Server 2008 – PKI- und Zertifikat-Sicherheit von Brian Komar (Micro-
soft Press, 2008).
Schlüsselarchivierung und Schlüsselwiederherstellung
Eine Archivierung der Schlüssel ermöglicht die Wiederherstellung eines privaten Schlüssels,
falls der private Schlüssel eines Benutzers beschädigt wird oder verloren geht. Eine Schlüs-
selwiederherstellung wird zum Beispiel erforderlich, wenn ein Benutzerprofil versehentlich
gelöscht wird, eine Festplatte ausfällt oder beschädigt wird, eine Smartcard versagt oder
wenn ein Computer gestohlen wird oder verloren geht. Einige dieser Situationen können Sie
durch die Aktivierung der Serverspeicherung von Anmeldeinformationen vermeiden. Wenn
Sie in der Richtlinie Zertifikatdiensteclient – Serverspeicherung von Anmeldeinformationen
die Serverspeicherung von Anmeldeinformationen aktivieren, werden private Schlüssel in
den Active Directory-Domänendiensten gespeichert.
Sie müssen die Zertifikatvorlagen so konfigurieren, dass die Schlüsselarchivierung unter-
stützt wird. Dazu wählen Sie auf der Registerkarte Anforderungsverarbeitung im Eigen-
schaftsdialogfeld einer Zertifikatvorlage das Kontrollkästchen Privaten Schlüssel für die
Verschlüsselung archivieren (Abbildung 7.7). Über die Bearbeitung der Eigenschaften von
Zertifikatvorlagen erfahren Sie in Lektion 2 mehr.
Sie aktivieren die Schlüsselarchivierung, indem Sie in der Konsole Zertifizierungsstelle das
Eigenschaftsdialogfeld der Zertifizierungsstelle öffnen, auf der Registerkarte Wiederherstel-
lungs-Agents die Option Schlüssel archivieren wählen und einen Schlüsselwiederherstel-
lungs-Agenten angeben (Abbildung 7.8). Geben Sie im Eingabefeld Anzahl der zu verwen-
denden Wiederherstellungs-Agenten die Zahl der Schlüsselwiederherstellungs-Agent-Zer-
tifikate an, die Sie auf der Zertifizierungsstelle installiert haben. Dadurch wird sichergestellt,
dass jeder Schlüsselwiederherstellungs-Agent private Schlüssel wiederherstellen kann.