Verschiedene Fragen zu den Windows-Zertifikatsdiensten

[gnoovy 10]

hi leutz,

 

ich beschäftige mich zur Zeit mit den Windows-Zertifikatsdiensten unter Windows 2008 R2 und habe diesbezüglich einige Fragen:

 

1) Umstellung Website /certsrv auf https

 

- Im IIS unter Bindungen https hinzugefügt

- Als Zertifikat hab ich das durch die Installation der CA bereits hinzugefügte genommen mit:

- "Garantiert dem Remotecomputer Ihre Indentität"

- "Garantiert die Indentität eines Remotecomputers"

- Bei der Website /certsrv habe ich unter SSL-Einstellungen "erforderlich" angehakt

- Auf den Clients habe ich das Benutzer-Zertifikat ausgerollt, Aufbau über https erfolgreich

Ist das so richtig gemacht worden?

 

2) Konfiguration Schlüsselwiederherstellungsagent

 

Um private Schlüssel für ausgestellte Zertifikate zentral auf der CA zu speichern hab ich den Key Recovery Agent konfiguriert und Aktiviere nun bei jeder erstellten Zertifikatvorlage "Privaten Schlüssel für die Verschlüsselung aktivieren".

- Wie kann ich den Schlüssel im Zweifelsfall wiederherstellen wenn ein Client neu installiert wurde? Oder wird das automatisch gemacht?

- Ist das korrekt, dass ich das Zertifikat "Key Recovery Agent" auf einem Client angefordert habe? Erst danach konnte ich unter den Eigenschaften der CA den Agent aktivieren oder hätte ich das auf der CA selber anfordern sollen?

 

3) Wiederherstellung einer CA

 

Zur Sicherung einer CA sichere ich die Systemstatusdateien. Falls die CA nicht mehr funktionsfähig ist, kann ich einfach das Computerkonto im AD löschen, eine neue CA mit gleichem Namen wieder als Member-Server einrichten und den Systemstatus zurücksichern?