Archivierte Zertifikate auf CA wiederherstellen

[Ivey 10]

Hallo,

hat jemand von euch schon mal ein archiviertes Zertifikat wiederhergestellt.

 

Ich habe einen Benutzer, der hat ein Benutzerzertifikat gehabt.

Dieses wurde bei ihm im Store gelöscht.

 

Ausgestellte Zertifikate werden bei uns in der CA archiviert.

 

Wenn ich über.

 

certutil -getkey den export des blobfiles mache, wird die datei erstellt.

bei

certutil -recoverkey sollte normalerweise das blobfile in ein pfx gewandelt werden, welches ich dann im Benutzerkonto wieder herstellen kann.

 

ich bekomme einen Fehler, der mir sagt, dass der private Schlüssel nicht gefunden werden kann.

 

Hat jemand ne Ahnung, wie ich ein Archiviertes Zertifikat wieder herstellen kann?

Hat das schon mal jemand geschafft?

 

Alle Ansätze von MS enden mit einer Fehlermeldung.

[Ivey 10]

hallo

 

wo sind die Zertifikatgurus?

:D

[olc 18]

Hi,

 

welche Meldung bekommst Du denn genau? Mit den angegebenen Informationen kann man nur raten...

 

Welche Befehle hast Du genau genutzt, also inkl. Pfadangabe usw.?

 

Hast Du den privaten Schlüssel und das Zertifikat des Key Recovery Agents im Speicher des Benutzers, der das "recoverkey" durchführt?

 

P.S.: Solche Tests macht man normalerweise, BEVOR ein Recovery wirklich notwendig wird. ;)

 

Viele Grüße

olc

[dmetzger 10]

hallo

 

wo sind die Zertifikatgurus?

:D

 

Du hast 3 Stunden und 22 Minuten nach Fragestellung noch keinen Kostenlos-Support erhalten und wirst schon ungeduldig? Bedenke: Wir arbeiten tagsüber, um uns das hier leisten zu können :rolleyes:

[Ivey 10]

hallo, die fehlermeldung kommt ja beim test.

ich schalt doch net was online, wenn ich nicht sicher bin, dass es nicht funktioniert. ;)

 

Problem tritt auf wenn...

 

Archivierung auf Ca aktiviert. neues User zertifikat erstellt (ist archiviert) wird in Ca angezeigt.

 

Wenn ich nun den priv. Schlüssel des User Zertifikats wiederherstellen möchte mache ich das wie folgt.

 

auf Ca:

 

certutil -getkey <Seriennummer des Zertifikats> c:\output.p7b

(Datei aus BLOB des Keys wird erstellt)

 

danach

 

certutil -recoverkey c:\output.p7b c:\privaterkey.pfx

 

dann kommt folgender Fehler:

--------------------------------------------------------------------------

C:\Users\Administrator.SEMINAR1>certutil -recoverkey c:\output.p7b c:\test.pfx

 

Berechneter Hash: 45 4b fb 2d a0 f7 32 04 97 9c 0e 16 71 01 bc a8 d2 fa 64 96

 

Benutzerzertifikat:

Seriennummer: 11092dec00000000000e

Aussteller: CN=seminar1-S1R2-CA, DC=seminar1, DC=intern

Antragsteller: E=test@seminar.de, CN=test user, OU=OU-Zert-User, DC=seminar1

, DC=intern

Zertifikathash(sha1): 11 fd 40 07 92 bb 98 a7 ab d4 56 fd 15 97 2d 43 08 61

3e 60

Der Nachrichteninhalt kann nicht entschlüsselt werden.

 

Die Schlüsselwiederherstellung erfordert eines der folgenden Zertifikate und des

sen privaten Schlüssel:

 

Empfängerinformationen[0]:

CMSG_KEY_TRANS_RECIPIENT(1)

CERT_ID_ISSUER_SERIAL_NUMBER(1)

Seriennummer: 619afdfa000000000009

Aussteller: CN=seminar1-S1R2-CA, DC=seminar1, DC=intern

Antragsteller: CN=Administrator, CN=Users, DC=seminar1, DC=intern

CertUtil: -RecoverKey-Befehl ist fehlgeschlagen: 0x8009200c (-2146885620)

CertUtil: Das Zertifikat und der private Schlüssel für die Entschlüsselung wurde

n nicht gefunden.

-------------------------------------------------------------------------

 

Nun mein problem, hat schon mal jemand von einem archiviertem Zertifikat den privaten Schlüssen wiederhergestellt?

Hat es funktioniert. Man findet niergends was im Inet dazu. Wahrscheinlich funtkioniert es gar nicht. Wieso gibt es dann die Archivierung für Zertifikate?

[dmetzger 10]

Nun mein problem, hat schon mal jemand von einem archiviertem Zertifikat den privaten Schlüssen wiederhergestellt?

 

Ja.

 

Hat es funktioniert.

 

Ja.

 

Man findet niergends was im Inet dazu.

 

Doch, jede Menge, z.B.:

 

Troubleshooting - Key Archival and Management in Windows Server 2003

Understanding User Key Recovery

 

Wahrscheinlich funtkioniert es gar nicht.

 

Doch. Ist hier wahrscheinlich ein individuelles, kein konzeptionelles Problem.

 

Wieso gibt es dann die Archivierung für Zertifikate?.

 

Unter anderem, um die von Dir genannte Situation zu bereinigen.

[Ivey 10]

ich hab alles so gemacht.

aber er sagt mir, dass ich das Zertifikat vom KeyRecoveryAgent brauche.

der user mit dem ich es wiederherstellen möchte, ist KRA.

 

wie bekomme ich den privaten schlüssel des KeyRecoveryAgents?

Das KRA Zertifikat wird ja nur in der CA abgelegt.

[olc 18]

Hi,

 

die Frage nach dem Key Recovery Agent Zertifikat habe ich oben schon gestellt. 3 Stunden testen können 2 Minuten lesen ersparen...

 

Den Schlüssel mußt Du ja irgendwo erstellt haben - vielleicht auf der CA? Ggf. kannst Du die "request Maschine" herausfinden, indem Du wie folgst vorgehst und Dir die Benutzerkosten auf der Maschine anschaust: Von welchem Client aus wurde eine Benutzer-Zertifikatanforderung durchgeführt? - Aktives Verzeichnis Blog - Site Home - TechNet Blogs

 

Viele Grüße

olc

[Ivey 10]

des hab ich ja alles,

 

ich hab das KRA Zertifikat auf Client A mit Benutzer A.

 

Wenn ich von da das Zertifikat von Benutzer B herstellen möchte, funktioniert das nicht.

 

Server sind Windows Server 2008 R2

[Ivey 10]

hauptproblem ist, dass wenn ich mit einem User ein KRA Zertifikat beantrage.

 

Habe ich auf der CA und auf dem Client immer unterschiedliche Seriennummern des KRA zertifikats.

 

CA ist UnternehmensCA.

Fehler tritt in allen Testszenarien auf.

[olc 18]

Hi,

 

bitte lies noch einmal meine Zeilen...

 

Ich rede nicht nur vom Zertifikat des KRA, sondern vom *privaten Schlüssel* des KRA. D.h. am besten direkt das *.PFX importieren.

 

Viele Grüße

olc

[Ivey 10]

Hallo,

habe es nun hinbekommen, das Problem ist, dass zwar alle Schritte in den Technet Artikeln gut beschrieben sind, aber der Punkt, dass ich einfach das Zertifikat aus der CA exportieren muss und in den Userstore des KRA importieren muss nicht.

 

Der private Schlüssel liegt ja auf im Zertifikatsspeicher des KRA-Users. Aber es muss ja der öffentliche schlüssel des KRA in den Store des KRA Users.

 

Der private Schlüssel des KRA lässt sich ja nicht aus der CA exportieren

[olc 18]

Hi,

 

Du hast oben geschrieben, daß Du das "Zertifikat" im Benutzerspeicher hattest - genau das *ist* der öffentliche Schlüssel, um genau zu sein enthält das Zertifikat den öffentlichen Schlüssel.

 

Den privaten Schlüssel des KRA mußt Du nicht recovern, den hast Du ja beim Erstellen des Zertifikats + privaten Schlüssel irgendwo beantragt und exportiert.

 

Aber gut, hauptsache es läuft nun. ;)

 

Viele Grüße

olc

[Ivey 10]

ja, danke für die hilfe.

 

Das Problem war, dass die Fehlermeldung immer nur von privaten Schlüssel spricht, aber eigentlich der öffentliche gefehlt hat.

[olc 18]

Hi Ivey,

 

ja - ein wenig irreführend. Der Hintergrund ist jedoch der: Die Zuordnung vom privaten Schlüssel zum öffentlichen Schlüssel erfolgt über das Zertifikat. Der Speicher kann nur dann den privaten Schlüssel nutzen, wenn er auch das Zertifikat als Referenz hat - sonst weiß er schlichtweg nicht, zu "wem" der private Schlüssel gehört.

 

Daher mein Hinweis oben, am besten das KRA *.PFX zu importieren, dann hast Du nämlich gleich beide Teile im Speicher. :)

 

Viele Grüße

olc