TriplexXx 10 Geschrieben 21. Januar 2006 Melden Teilen Geschrieben 21. Januar 2006 Hallo. Da ich in 2 Wochen meine 70-299 Prüfung habe, arbeite ich nochmal das ganze Buch durch. Dabei bin ich auf ein Problem gestossen welches ich seit 5Stunden nicht lösen kann. Finde weder im Forum noch im Internet etwas dazu. Also.... hier mal die Fakten: Server 2003 (funktionsebene = nur 2003) Domäne, DNS, IIS, Zertifizierungsstelle Nun habe ich das Problem das wenn ich eine Unternehmenszertifizierungsstelle eingerichtet habe, keinen Schlüsselwiederherstellungsagenten erstellen kann. Wie auch auf der MS Seite beschrieben, lege ich als erstes einen neuen User an .. "kru" (key recovery user)mitglied der der domänen-admins. Danach öffne ich active directory standort und dienste, lasse mir alle dienstknoten anzeigen. danach gehe ich auf "services -> public key services -> certificate Templates" und öffne die Eigenschaften von KeyRecoveryAgent. Dort deaktiviere ich dann unter Ausstellungsvorraussetzung den Punkt "Genehmigung von Zertifikatverwaltung der Zertiifizierungsstelle" . Unter Sicherheit füge ich dann den User KRU ein und gebe ihm die Rechte Lesen und Registrieren. Danach öffne ich die zertifizierungstelle und füge unter zertifikatsvorlagen mit einem rechtsklick die auszustellende zertifikatsvorlage für den schlüsselwiederherstellungsagenten ein. Soweit so gut. Will ich mit dem User nun das Zertifikat anfordern, sagt mir der Assistent: Die Zertifizierungsstelle hat die Anforderung abgelehnt. Privater Schlüssel kann nicht archiviert werden. Die Zertifizierungsstelle ist nicht für die Schlüsselarchivierung konfiguriert. Ich finde nicht die Einstellung, das er mir dieses Zertifikat ausstellt. Ich hoffe das ganze ist ausführlich genug :) Gruß Andreas Wilmer Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 21. Januar 2006 Melden Teilen Geschrieben 21. Januar 2006 Hast du etwa in der Zertifikatsvorlage für den Schlüsselwiederherstellungsagenten auch das Häkchen "Privten Schlüssel Archivieren" gesetzt? So sieht es mir jedenfalls aus. Das darfst du nicht. Erstens geht das aus Sicherheitsgründen nicht, zweitens beisst sich Katze dann in den Schwanz: Ich brauche das Zertifikat des KRU um die Schlüsselarchivierung zu aktivieren, aber ich ich brauch die Schklüsselarchivierung um das Zertifikat ausstellen zu können, usw. grizzly999 Zitieren Link zu diesem Kommentar
TriplexXx 10 Geschrieben 22. Januar 2006 Autor Melden Teilen Geschrieben 22. Januar 2006 Hallo Grizzly999 das wars... Vielen Dank... Da muss man erst mal drauf kommen :) Gruß Andreas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.