Zertifikat für BitLocker Recovery Agent ausstellen

    , 02.02.2021
    Tags: , ,

    Zertifikat für BitLocker-EntsperrungBitLocker unter­stützt mehrere Mecha­nismen, um ein ver­schlüsseltes Lauf­werk zu ent­sperren. Dazu gehören auch Wieder­her­stellungs­agenten, mit deren Zerti­fikat man einen BitLocker-Protector hinzu­fügen kann. Für die Aus­stellung eines solchen Zertifikats benötigt man in den AD CS eine eigens dafür angepasste Vor­lage.

    BitLocker Data Recovery Agents sind Benutzer, die Laufwerke in der Regel dann entsperren, wenn der Besitzer des Rechners oder eines Wechsel­daten­trägers sein Passwort vergessen hat und über keinen Schlüssel verfügt, mit dessen Hilfe er an seine Daten zu gelangen kann.

    Um einen Wieder­her­stellungs­agenten einzurichten, benötigt man ein Zertifikat. Mit dessen Public Key fügt man einen Protector zu den Laufwerken hinzu. Zum Entsperren muss der betreffende Agent-User das Zertifikat in den lokalen Store des jeweiligen Rechners importieren.

    Eine Windows-CA enthält standard­mäßig kein Template für die BitLocker-Datenwieder­herstellung. Ein solches muss man daher auf Basis der Vorlage Key Recovery Agent erstellen.

    Zertifikatvorlage erstellen

    Im ersten Schritt öffnet man daher die MMC und lädt das Snap-in Zertifikat­vorlagen. Dort führt man aus dem Kontextmenü von Key Recovery Agent den Befehl Vorlage duplizieren aus.

    Neue Vorlage auf Basis von Key Recovery Agent erstellen

    Im anschließenden Dialog trägt man unter dem Reiter Allgemein einen sprechenden Namen für die Vorlage ein und ändert bei Bedarf die Gültigkeits­dauer.

    Namen für die neue Vorlage vergeben. Hier kann man auch die Gültigkeitsdauer ändern.

    Wenn man möchte, dann kann man die Option Zertifikat in Active Directory publizieren anhaken, weil der Wizard bei der späteren Konfiguration des Recovery-Agent-GPO anbietet, das Zertifikat von dort auszulesen.

    Danach wechselt man zur Registerkarte Erweiterungen, klickt dort auf die Schaltfläche Bearbeiten und im nächsten Fenster auf Hinzufügen. Aus der anschließend angezeigten Liste wählt man die Einträge BitLocker-Daten­wieder­her­stellungs­agent sowie BitLocker-Laufwerks­ver­schlüsselung aus.

    Anwendungsrichtlinien für BitLocker hinzufügen

    Eine weitere Anpassung erfolgt unter dem Reiter Anforderungs­verarbeitung. Dort deaktiviert man die per Vorein­stellung ausgewählte Option Genehmigung von Zertifikats­verwaltung der Zertifizierungs­stelle.

    Option 'Genehmigung von Zertifikatsverwaltung der Zertifizierungsstelle' abwählen

    Schließlich passt man unter Sicherheit bei Bedarf die Berechtigungen an, abhängig davon, welche User in der Lage sein sollen, ein Zertifikat auf Basis dieser Vorlage anzufordern.

    Template ausstellen

    Nach dem Speichern der neuen Vorlage muss man diese noch aktivieren. Dazu öffnet man in der MMC das Snap-in Zertifizierungs­stelle und führt aus dem Kontextmenü des Ordners Zertifikat­vorlagen den Befehl Neu => Auszustellende Zertifikatvorlage aus.

    Im Snap-in 'Zertifizierungsstelle' führt man den Befehl zum Ausstellen der Vorlage aus

    In der daraufhin angezeigten Liste wählt man die neue Vorlage für den BitLocker Recovery Agent und bestätigt diese mit OK.

    Zertifikatvorlage für den BitLocker Recovery Agent aktivieren

    Zertifikat ausstellen

    Nun kann man auf Grundlage dieses Templates ein Zertifikat anfordern. Dazu öffnet man certmgr.msc und führt aus dem Kontextmenü von Eigene Zertifikate den Befehl Alle Aufgaben => Neues Zertifikat anfordern aus.

    Befehl zum Ausstellen eines Zertifikats öffnen

    Die ersten beiden Dialoge kann man einfach bestätigen, und beim dritten wählt man die vorhin erstellte Vorlage aus. Wenn man möchte, kann man Details => Eigenschaften öffnen und einen aussage­kräftigen Anzeigenamen eingeben. Mit einem Klick auf Registrieren schließt man den Vorgang ab.

    Das Template für den BitLocker Recovery Agent als Basis für das neue Zertifikat festlegen

    Zertifikat exportieren

    Für die Gruppenrichtlinie zur Aktivierung eines Recovery Agent muss man das Zertifikat ohne den privaten Schlüssel exportieren. Dazu wählt man in certmgr.msc das eben ausgestellte Zertifikat aus und startet aus dessen Kontextmenü den Befehl Alle Aufgaben => Exportieren.

    Befehl zum Exportieren von Zertifikaten aus dem lokalen Store

    Nach der Willkommen-Seite gelangt man zum Dialog, bei dem bereits die Option Nein, privaten Schlüssel nicht exportieren aktiviert ist.

    Der private Schlüssel wird nicht exportiert

    Diese Auswahl belässt man und behält auch auf der nächsten Seite das voraus­gewählte Format DER-codiert-binär X.509 bei.

    Dateiformat für den Export des Zertifikats auswählen

    Schließlich gibt man noch den Pfad und den Namen der Datei an, unter der man das Zertifikat speichern möchte und schließt den Vorgang ab.

    Für das Entsperren eines Laufwerks benötigt ein Wieder­herstellungs­agent das Zertifikat inklusive des privaten Schlüssels. Zu diesem Zweck wiederholt man den eben geschilderten Vorgang, entscheidet sich dort aber für den Export des Private Key.

    Als Dateiformat steht anschließend nur PKCS #12 (.PFX) zur Verfügung. Vor dem Schreiben der Datei muss man ein Kennwort festlegen, um damit den privaten Schlüssel zu schützen. Es versteht sich von selbst, dass man hier ein starkes Passwort verwendet und das Zertifikat anschließend an einem sicheren Ort aufbewahrt.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links