Verloren gegangene Schlüssel mit dem Key Recovery Agent wiederherstellen

    Details einer mit EFS verschlüsselten DateiHat man die vorbereitenden Schritte erledigt, also Key Recovery Agents und die Schlüssel­archi­vierung für seine Zertifizierungsstelle eingerichtet, ist man fast in der Lage, auf den Hilferuf eines Benutzers wegen eines verloren gegangenen Schlüssels zu reagieren, etwa wenn er nach einer Neuinstallation des OS nicht mehr an seine EFS-verschlüsselten Daten herankommt. Es fehlt nur noch an einer Kleinigkeit – die Zertifikate der Benutzer müssen auf Schlüsselarchivierung umgestellt werden, und zwar bevor man eine Schlüsselwiederherstellung braucht.

    Benutzer-Zertifikate mit Schlüsselarchivierung ausstellen

    Diese Zertifikatvorlage unterstützt SchlüsselarchivierungDie Archivierung eines Schlüssels erfolgt jeweils dann, wenn ein Zertifikat ausgestellt wird. Hat man bis dato ohne Schlüsselarchivierung gearbeitet, kann man also nicht die Schlüssel der bereits ausgestellten Zertifikate nachträglich archivieren, sondern muss neue ausstellen. Dies erreicht man, indem man die Standard- oder selbst erstellte Zertifikatvorlage ohne Schlüsselarchivierung ersetzt. Dazu erstellt man eine Zertifikatvorlage mit folgenden Eigenschaften:

    • Auf der Registerkarte Anforderungsverarbeitung aktiviert man die Option Privaten Schlüssel für die Verschlüsselung archivieren.
    • Wenn Benutzer bereits über Zertifikate verfügen, die nicht für die Schüsselarchivierung konfiguriert wurden, klickt man auf die Registerkarte Abgelöste Vorlagen, hier auf Hinzufügen, und anschließend auf den Namen der Zertifikatvorlage ohne Schlüsselarchivierung, die ersetzt werden soll.

    In der Zertifikatvorlagenkonsole klickt man anschließend mit der rechten Maustaste auf die alte Zertifikatvorlage und wählt aus dem Kontextmenü den Punkt Alle Zertifikatinhaber erneut registrieren-. Durch die Konfiguration Abgelöste Vorlagen wird deren Anforderung jeweils auf die neue Zertifikatvorlage umgeleitet und somit für Schlüsselarchivierung konfiguriert.

    Verlorengegangene Schlüssel wiederherstellen

    Ist ein Benutzerschlüssel verlorengegangen, lässt er sich nun in 3 Schritten wiederherstellen:

    1. Seriennummer des archivierten Zertifikats ermitteln,
    2. Schlüsselwiederherstellung ausführen,
    3. Schlüssels auf dem Clientcomputer wiederherstellen.

    Die Seriennummer des Zertifikates ermittelt man an der Management-Konsole für die Zertifizierungsstelle. Dazu meldet man sich direkt auf dem Host an, auf dem die Zertifizierungsstelle läuft. Dann klickt man auf den Knoten Ausgestellte Zertifikate, und hier im Menü Ansicht auf Spalten hinzufügen/entfernen. Unter Verfügbare Spalten klickt man nun auf Archivierter Schlüssel, dann auf Hinzufügen. Scrollt man nun zum ausgestellten Zertifikat, das verlorengegangen ist, sollte in dieser Spalte Ja stehen. Ist dies der Fall, öffnet man das Zertifikat per Doppelklick und kopiert die Seriennummer von der Registerkarte Details unter Seriennummer heraus.

    Für die Schlüsselwiederherstellung selbst öffnet man eine Eingabeaufforderung und gibt den Befehl

    certutil -getkey ‹serialnumber› recovery.p7b

    ein. Als ‹serialnumber› gibt man die eben ermittelte Seriennummer ein, jedoch ohne die Leerstellen zwischen den einzelnen Byte-Paaren.

    Die Ausgabedatei recovery.p7b bekommt ein Key Recovery Agent ausgehändigt, der mit der eigentlichen Restauration auf seinem PC fortfährt. Dazu muss sein KRA-Zertifikat bei der Zertifizierungsstelle registriert und im persönlichen Zertifikatspeicher auf dem Computer gespeichert sein, auf dem die Wiederherstellung ausgeführt wird.

    Der Key Recovery Agent öffnet eine Eingabeaufforderung und gibt dort den Befehl

    certutil -recoverkey recovery.p7b ‹zertifikat›.pfx

    Die PFX-Datei erfordert 2 übereinstimmende Kennwörter, die der KRA vorgibt. Dann kopiert man die PFX-Datei auf den Computer des Benutzers, auf dem die Wiederherstellung ausgeführt wird und importiert sie, wobei das eben vergebene Kennwort wieder einzugeben ist. Damit ist das verlorengegangene Zertifikat mitsamt seinem alten Schlüssel wiederhergestellt.

    1 Kommentar

    Bild von Dietmar Haimann
    18. Februar 2011 - 9:17

    Vielen Dank für die viele Mühe, die Sie in die Beiträge über die Unternehmens CAs investiert haben. Sehr hilfreich, verständlich geschrieben und umsetzbar! Danke!