Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

Die Zertifikatsvorlage für den Key Recovery Agent konfigurieren

  1. Server Manager > Local Server > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Certificate Templates rechts anklicken > ManageKEYARCHIVAL-001
  4. Die Zertifikatsvorlage Key Recovery Agent rechts anklicken > Duplicate Template
    KEYARCHIVAL-002
  5. Properties of New Template
    1. Reiter General
      1. Template display name: CUSTOM – Key Recovery Agent
      2. Validity period: 5 years
        KEYARCHIVAL-003 
    2. Reiter Issuance Requirements
      1. CA certificate manager approval deaktivieren
        KEYARCHIVAL-004
  6. Mit OK schließen
    KEYARCHIVAL-005
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
    KEYARCHIVAL-006
  8. CUSTOM – Key Recovery Agent markieren > OK
    KEYARCHIVAL-007KEYARCHIVAL-020

Die Konfiguration für die Schlüsselarchivierung kann erst abgeschlossen werden, wenn der KRA das Zertifikat angefordert hat.

Das Zertifikat für den Key Recovery Agent anfordern

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Certificates erweitern
  4. Personal rechts anklicken > All Tasks > Request New Certificate…
    KEYARCHIVAL-008
  5. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy: Next
    3. Request Certificates: CUSTOM – Key Recovery Agent > Enroll
      KEYARCHIVAL-009
    4. Das Zertifikat wird angefordert > Finish
      KEYARCHIVAL-010
  6. Den Ordner Certificates anklicken > Fenster schließen
    KEYARCHIVAL-011

Jetzt kann die Schlüsselarchivierung (Key Archival) aktiviert werden.

Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

  1. In der Certification Authority-Konsole Einfaches-Netzwerk SubCA rechts anklicken > Properties
    KEYARCHIVAL-013
  2. Zum Reiter Recovery Agents wechseln
  3. Archive the key aktivieren > Add…
    KEYARCHIVAL-014
  4. Das Zertifikat KeyRecoveryAgent markieren > OK
    KEYARCHIVAL-015
  5. Das Zertifikat wird in der Liste Key recovery agent certificates mit dem Status Not Loaded angezeigt
    KEYARCHIVAL-016
  6. Auf Apply klicken
  7. Die Frage über den Neustart des CertSvc mit Yes beantworten
  8. Das Zertifikat hat jetzt den Status Valid
    KEYARCHIVAL-018
  9. Fenster mit OK schließen

Weitere Informationen