Schlüsselarchivierung für eine Zertifizierungsstelle einrichten

    Aktivierung der Schlüsselarchivierung (Detail)Hat man einen oder mehrere Administratoren berechtigt, als Key Recovery Agents zu fungieren, können diese Zertifikate anfordern, um sie für die Schlüsselwiederherstellung zu verwenden. Damit die Schlüsselarchivierung funktioniert, ist seitens der Zertifizierungsstelle noch zusätzliche Konfiguration vonnöten. Im Wesentlichen handelt es sich um zwei Schritte, die erledigt sein müssen:

    1. Der KRA registriert sich für sein Schlüsselwiederherstellungszertifikat,
    2. er wird als Key Recovery Agent für die Zertifizierungsstelle registriert.

    Für dieses Verfahren muss man als Zertifizierungsstellenadministrator angemeldet sein.

    Benutzer für das Schlüsselwiederherstellungszertifikat registrieren

    Der Benutzer fordert sein Schlüsselwiederherstellungszertifikat anDie Anforderung eines Schlüsselwiederherstellungszertifikats erledigt der Benutzer, dem die Aufgabe übertragen werden soll. Dazu kann er eine Management-Konsole für die Zertifikatverwaltung verwenden. Im Unterschied zu automatisch erteilten Zertifikaten wird die Anforderung allerdings nicht automatisch verarbeitet, sondern wartet auf ihre manuelle Bestätigung. Das Zertifikat taucht deshalb nicht unter den eigenen Zertifikaten auf, sondern im Knoten Zertifikatregistrierungsanforderungen. Die Bestätigung nimmt anschließend der Administrator der Zertifizierungsstelle in der Management-Konsole Zertifizierungsstelle vor.

    Key Recovery Agent für die Zertifizierungsstelle registrieren

    Der Zertifizierungsstellenadministrator lädt die Zertifikate der Key Recovery Agents und aktiviert damit die SchlüsselarchivierungIn der Management-Konsole Zertifizierungsstelle werden die KRAs auch registriert. Dazu klickt der Zertifizierungsstellenadministrator mit der rechten Maustaste auf den Namen der Zertifizierungsstelle und wählt aus dem Kontextmenü den Punkt Eigenschaften. Auf der Registerkarte Wiederherstellungs-Agents schaltet man die Schlüsselarchivierung ein und wählt aus, wie viele KRAs man dazu einsetzen will. Er sollte der Zahl der registrierten Benutzer für Schlüsselwiederherstellungszertifikate entsprechen, sonst kommt es bei Registrierungsanforderungen, die eine Schlüsselarchivierung erfordern, zu einem Fehler.

    Nach einem Klick auf die Schaltfläche Hinzufügen wählt man die konkret zu berechtigenden Benutzer aus einer Liste aus. Sie erhalten zunächst den Status Nicht geladen und können nicht verwendet werden. Erst nach einem Klick auf OK oder Übernehmen und dem daraufhin erfolgenden Neustart der Zertifizierungsstelle haben sie den Status Gültig und sind einsatzbereit.

    Keine Kommentare