Zertifikat zur Dokumentenverschlüsselung (Cryptographic Message Syntax) ausstellen

    Zertifikat für DokumentenverschlüsselungPower­Shell 5.x unterstützt den IETF-Standard Crypto­graphic Message Syntax (CMS) zur Ver­schlüs­selung von Da­teien oder Log-Einträgen. Dafür be­nötigt es ein Zerti­fikat, das speziell für diesen Zweck ausge­stellt wurde. Möchte man es von einer Windows-CA anfordern, dann muss man dafür erst ein Temp­late ein­richten.

    Microsofts Anleitungen, beispielsweise jene zu Protect-CmsMessage, beschreiben stets das Vorgehen, um ein selbst­signiertes Zertifikat für die Dokumenten­verschlüsselung mit certreq.exe aus­zustellen. Dabei packt man die Daten für die Anforderung des Zertifikats in eine .inf-Datei nach diesem Muster:

    Anschließend ruft man

    certreq -new <Name-der-INF-Datei>.inf <Name-des-Zertifikats>.cer

    auf, um das Zertifikat anzufordern. Dieses landet dann im lokalen Speicher des ange­meldeten Benutzers. Von dort kann man es exportieren und per GPO auf jene Rechner über­tragen, auf denen man Daten verschlüsseln möchte.

    Template für Enterprise-CA erstellen

    Bevorzugt man anstelle eines selbst­signiertes Zertifikats eines, welches von einer internen Windows-CA ausgestellt wurde, dann fehlt dort standard­mäßig die dafür erforderliche Vorlage. Wenn man eine solche anlegt, dann kann man sich an den Vorgaben der obigen .inf-Datei orientieren.

    Im ersten Schritt öffnet man die Zertifikats­vorlagen­konsole certtmpl.msc und kopiert ein geeignetes vorhandenes Templates. In unserem Beispiel nehmen wir dazu Benutzer.

    Bestehende Vorlage für das neue Template zur Dokumentenverschlüsselung kopieren

    Anschließend vergeben wir unter dem Reiter Allgemein den Namen für die neue Vorlage und legen die Gültigkeits­dauer fest.

    Namen für die neue Vorlage vergeben

    Danach ändern wir unter Anforderungs­verarbeitung den Zweck auf Verschlüsselung. Dort lässt man außerdem den Export des privaten Schlüssels zu, falls Zertifikate für die Dokumenten­verschlüsselung auf mehreren Rechnern benötigt werden, um dort die Dokumente zu entschlüsseln.

    Den Zweck für die Zertifikatvorlage ändert man auf "Verschlüsselung".

    Analog zu der Anforderung in der oben gezeigten .inf-Datei sollte die Schlüssellänge mindestens 2048 Bits betragen, die entsprechende Einstellung findet sich in der Registerkarte Kryptographie.

    Wichtig ist es nun, die notwendigen Einstellungen unter dem Reiter Erweiterungen zu konfigurieren. Dort bearbeiten wir die Anwendungs­richtlinien und entfernen alle vorhandenen Einträge. Stattdessen fügen wir Doku­menten­ver­schlüsselung hinzu.

    In den Anwendungsrichtlinien fügt man Dokumentenverschlüsselung hinzu.

    Standardmäßig dient das neue Zertifikat zur Verschlüsselung von Zertifikaten (CERT_KEY_ENCI­PHER­MENT_KEY_USAGE in der .inf-Datei), was für die hier beschriebene Aufgabe grundsätzlich ausreicht. Möchte man noch CERT_DATA_ENCI­PHER­MENT_KEY_USAGE hinzufügen, dann editiert man den Eintrag Schlüssel­verwendung und hakt im nächsten Dialog die Option Verschlüsselung von Benutzer­daten zulassen an.

    Verschlüsselung von Benutzerdaten bei Schlüssel­verwendung aktivieren

    Schließlich überzeugt man sich, dass auf der Registerkarte Sicherheit all jene Benutzer, die ein Zertifikat auf Basis dieser Vorlage anfordern sollen, das Recht Registrieren besitzen.

    Zertifikat anfordern

    Möchte man nun ein Zertifikat zur Verschlüsselung von Dokumenten anfordern, dann wird dies wahrscheinlich daran scheitern, dass die Vorlage in der Active-Directory-Registrierungs­richtlinie nicht verfügbar ist. Daher muss man das Template erst veröffentlichen.

    Nach Überwindung dieser Hürde gibt man in der Details des Requests den Namen des Antrag­stellers in einem Format ein, das man in der Vorlage dafür vorgesehen hat. Unter Privater Schlüssel => Schlüssel­optionen sollte man sich überzeugen, ob dieser exportierbar ist, falls benötigt.

    Zertifikat auf Basis der neuen Vorlage anfordern

    Nach dem Klick auf Registrieren sollte das neue Zertifikat nun im Speicher das aktuellen Benutzers erscheinen.

    Keine Kommentare