gnoovy 10 Geschrieben 30. September 2011 Melden Teilen Geschrieben 30. September 2011 Hi zusammen, ich beschäftige mich zur Zeit mit den Windows Zertifikatsdiensten unter Windows 2008 R2. So weit so gut nur wie kann ich eine Zertifizierungsstelle wiederherstellen nach einem Ausfall? Bisher habe ich Testläufe unter Vmware durchgeführt. Ich sichere stets den Systemstatus der Zertifizierungsstelle. Schalte ich diese dann ab und bereite die gleiche Vmware-Umgebung nochmals auf, als die Zertifizierungsstelle lediglich nur Member-Server war kann ich mich an dieser Umgebung nicht an Windows anmelden. Es erscheint immer der Hinweis dass die Vertrauensstellung nicht stimme. Melde ich mich dann dort lokal an und sichere den Systemstatus zurück, bleibt die Problematik bestehen. Nehme ich vor der Rücksicherung den Server aus der Domäne raus und wieder rein klappt wieder die Anmeldung, allerdings ist nach Rücksicherung des Systemstatus die Anmeldeproblematik wieder da. Somit die Frage wie ich bei einer Wiederherstellung vorgehen muss? Hoffe ihr könnt mir da helfen... Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 30. September 2011 Melden Teilen Geschrieben 30. September 2011 Using the Certificate Services Backup and Restore Functions Backing up and restoring a certification authority: Public Key How to move a certification authority to another server Disaster Recovery Procedures for Active Directory Certificate Services (ADCS) - Windows PKI blog - Site Home - TechNet Blogs Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 9. Oktober 2011 Autor Melden Teilen Geschrieben 9. Oktober 2011 hi zusammen, habe einen der Technet-Artikel auf deutsch gefunden und umgesetzt. CA ist auf einem Server gleichen Namens wiederhergestellt. worden. Prinzipiell bin ich so vorgengangen, dass ich über das Zertifikats-SnapIn eine Sicherung durchgeführt habe und einen Registry-Export von "HKLM\SYSTEM\CurrentControlSet\services\CertSvc\Configuration durchführte. Auf dem neuen CA Zertifikatsdienste installiert, Sicherung über das ZertifikatssnapIn wiederhergestellt, Registry-Export importiert und ZertifikatsDienste neu gestartet. Funktioniert auch soweit. Allerdings kann ich ein verloren gegangenes Zertifikat auf einem Client nicht wiederherstellen. Key Recovery Agent ist aktiviert. Das Zertifikat des Key Recover Agents ist in der CA hinterlegt. Dieses habe ich exportiert und auf der CA unter Benutzer-Eigene Zertifikate wiederhergestellt um auf der CA selbst verlorengegangene Zertifikate wiederherstellen zu können. Der Befehl certutil -getkey <Seriennummer> recovery.p7b funktioniert Der Befehl certutil -recoverkey recovery.p7b recovery.pfx funktioniert hingegen nicht. Es erscheint immer die Meldung "die schlüsselwiederherstellung erfordert eines der folgenden zertifikate und dessen privaten schlüssel"..... Was mache ich hier noch falsch? Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 15. Oktober 2011 Autor Melden Teilen Geschrieben 15. Oktober 2011 hi zusammen, kann mir hier keiner mehr weiterhelfen? Wie macht ihr das? Kann ich so sichern? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Oktober 2011 Melden Teilen Geschrieben 16. Oktober 2011 Hi, Du mußt die Migration der privaten Schlüssel manuell durchführen, siehe dazu: Exporting Archived Encryption Keys (Optional)Exporting and preserving archived encryption keys is necessary only if a CA consolidation is performed or if the original CA will not be preserved. In this case, any encryption keys archived within the CA's database must be preserved to ensure that content encrypted with those keys remains recoverable. All archived encryption keys must individually be exported from the CA database and imported into the target CA, using the following steps or a similar method. The following steps are offered as one suggested method of retrieving the archived keys. For more information about key archival and recovery, see Key Archival and Management in Windows Server 2008 (Key Archival and Management in Windows Server 2008). Note A user account owning the correct key recovery agent certificate is required. In addition, Issue permission and Manage Certificates permission are required. Keys are exported into password-protected .pfx files. You must ensure that these files are kept secure and handled appropriately. [...] Viele Grüße olc Zitieren Link zu diesem Kommentar
gnoovy 10 Geschrieben 16. Oktober 2011 Autor Melden Teilen Geschrieben 16. Oktober 2011 hi olc, vielen Dank für die Rückantwort :-) Also gemäß deinem Text muss ich also wirklich das Zertifikat vom KRA aus Eigene Zertifikate im Benutzer-Zertifikats-Bereich wegsichern. Okay :-) Und ist es auch soweit korrekt, dass wenn meine ursprüngliche CA einen Online responder für Zertifikatssperrlisten eingerichtet hatte ich diesen auf der neuen CA einfach wieder neu einrichten muss? Habe im Internet dazu nichts gefunden und eine Art Sicherung im SnapIn des Responders ebenfalls nicht. Sobald ich das weiß wäre ich auch mit meinen Fragen am Ende :-) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. Oktober 2011 Melden Teilen Geschrieben 19. Oktober 2011 Hi, die URL des OCSP Responders muß natürlich "gleich" sein oder per GPO entsprechend angepaßt werden. Ansonsten kannst Du den Responder einfach "neu installieren". ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.