Einrichten eines Key Recovery Agent (KRA)

    Die KRA-StandardvorlageInnerhalb einer PKI spielt der Key Recovery Agent eine wichtige Rolle. Es handelt sich hierbei um einen Administrator, der für die Wiederherstellung von Zertifikaten im Namen eines Endbenutzers autorisiert ist. Da ein Key Recovery Agent mit vertraulichen Daten in Berührung kommen, dürfen nur vertrauenswürdige Personen mit dieser Aufgabe betraut werden. Nur Domänen-Admins oder Mitglieder einer entsprechenden Gruppe können einen KRA bestimmen.

    Zertifikatvorlage für Key Recovery Agents erstellen

    Die Vorlage für den Key Recovery Agent wird entsprechend der eigenen Organisation angepasstUm einen Key Recovery Agent zu bestimmen, muss man die Zertifikatvorlage für Key Recovery Agents entsprechend seiner Organisationsstruktur konfigurieren. Danach kann sich die mit damit betraute Person für ein entsprechendes Zertifikat registrieren. Die Standard-Zertifikatvorlage für einen Key Recovery Agent befindet sich bereits auf der Version von Windows Server 2003 Enterprise – die von Windows 2000 könnte den Anforderungen nicht genügen.

    Aufgrund der Standardvorlage lässt sich eine eigene Zertifikatvorlage für den Key Recovery Agent erstellen. Diese erhält einen der Organisation und dem Zweck entsprechenden Namen. Sodann klickt man Registerkarte Sicherheit auf Hinzufügen, gibt die Namen der Benutzer und/oder Gruppen ein, die für die Ausstellung von KRA-Zertifikaten berechtigt sein sollen und klickt auf OK. Den gerade ausgewählten Benutzer oder Gruppen gibt man unter Berechtigungen die Rechte Lesen und Registrieren. Es ist ausdrücklich nicht ratsam, hier das Recht Automatisch Registrieren zu vergeben, sondern stattdessen für KRA-Zertifikatsanforderungen die manuelle Bestätigung erforderlich zu machen. Die erstellte KRA-Zertifikatvorlage aktiviert man anschließend, um sie damit zur Verfügung zu stellen und kann sie anschließend verwenden.

    4 Kommentare

    Bild von Dietmar Haimann
    Dietmar Haimann sagt:
    25. Februar 2011 - 9:45

    Hallo! Wir müssen uns aus gegebenem Anlass (Integration des iPhone ins Unternehmensnetz) ebenfalls mit der Errichtung einer PKI beschäftigen. Meine Frage: Kann man später weitere KRAs hinzufügen oder müssen vor der Erstellung der Benutzerzertifikate alle KRAs bereits feststehen?

    Vielen Dank!
    Dietmar

    Bild von Andreas Kroschel
    26. Februar 2011 - 10:44

    Hallo Herr Haimann,
    man kann weitere KRAs auch noch später hinzufügen, das ist kein Problem.
    viele Grüße,
    Andreas Kroschel

    Bild von Czichowski
    Czichowski sagt:
    18. November 2011 - 7:29

    Hallo Zusammen,

    die Aussage mit dem Hinzufügen ist richtig, aber die KRAs können NUR die ab dann erstellten privaten Schlüssel wiederherstellen, nicht die bereits vorher ausgegebenen. Da hat MS das Konzept nicht sauber durchdacht, da bei Verlust des private Keys des KRA KEINE Recovery mehr möglich ist, auch nicht bei nachträglichem Anlegen eines oder mehrerer KRAs. Also doch ein Problem.
    Tipp also:
    Immer mind. 2 KRAs anlegen, KRAs immer von Beginn an anlegen, die private Keys dieser sicher aufbewahren, lange Laufzeiten der KRA-Zertfikate, da auch bei Erneuerung mit einem neuen Key KEIN Zugriff mehr möglich ist.
    Leider mussten wir genau diese Erfahrung machen, das schmerzt, weil die Recovery ja ein schmerzendes Thema ist.

    Bild von toni
    toni sagt:
    3. Januar 2013 - 11:11

    Hallo

    Danach kann sich die (mit) damit betraute Person für ein entsprechendes Zertifikat registrieren