Benutzer, die einen privaten Schlüssel verlieren, können mit diesem Schlüssel verschlüsselte Daten nicht wiederherstellen. Wenn ein Schlüssel auf dem Clientcomputer wiederhergestellt wird, können die Daten entschlüsselt und verwendet werden.
Der gesamte Wiederherstellungsprozess besteht aus drei Verfahren:
-
Abrufen der Seriennummer des archivierten Zertifikats
-
Ausführen der Schlüsselwiederherstellung
-
Wiederherstellen des Schlüssels auf dem Clientcomputer
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
 | So rufen Sie die Seriennummer eines archivierten Zertifikats ab |
Melden Sie sich an dem Computer an, der als Host der Zertifizierungsstelle (Certification Authority, CA) fungiert.
Öffnen Sie das Zertifizierungsstellen-Snap-In.
Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle und anschließend auf Ausgestellte Zertifikate.
Klicken Sie im Menü Ansicht auf Spalten hinzufügen/entfernen.
Klicken Sie unter Verfügbare Spalten auf Archivierter Schlüssel, und klicken Sie dann auf Hinzufügen.
Archivierter Schlüssel sollte jetzt unter Angezeigte Spalten angezeigt werden.
Klicken Sie auf OK, führen Sie im Detailbereich einen Bildlauf nach rechts aus, und vergewissern Sie sich, dass in der Spalte Archivierter Schlüssel des zuletzt an einen Benutzer ausgestellten Zertifikats der Wert Ja angezeigt wird.
Doppelklicken Sie auf das Zertifikat.
Klicken Sie auf die Registerkarte Details. Notieren Sie sich die Seriennummer des Zertifikats. (Fügen Sie keine Leerstellen zwischen den Ziffernpaaren ein.) Diese Informationen benötigen Sie zum Abschließen des Wiederherstellungsverfahrens.
Die Seriennummer besteht aus einer hexadezimalen Zeichenkette mit 20 Zeichen. Die Seriennummer des privaten Schlüssels entspricht der Seriennummer des Zertifikats. Für dieses Verfahren wird die Seriennummer als serialnumber bezeichnet.
Klicken Sie auf OK, und schließen Sie das Zertifizierungsstellen-Snap-In.
Geben Sie an einer Eingabeaufforderung Folgendes ein:
Certutil -getkey <serialnumber> outputblob
Hinweis Der Teil mit den Empfängerinformationen in der Ausgabe dieses Befehls identifiziert die Seriennummern der Zertifikate für Key Recovery Agent, deren private Schlüssel benötigt werden, um den Blob zu entschlüsseln und den Schlüssel wiederherzustellen.
Geben Sie an einer Eingabeaufforderung Folgendes ein:
dir outputblob
Hinweis Wenn die Datei outputblob nicht existiert, haben Sie möglicherweise die Seriennummer für das Zertifikat falsch eingegeben. Die Datei outputblob ist eine PKCS #7-Datei. Sie enthält die Zertifikate für Key Recovery Agent sowie das Benutzerzertifikat und die Kette. Der innere Inhalt ist eine verschlüsselte PKCS #7-Datei, die den privaten Schlüssel enthält (verschlüsselt für die Zertifikate von Key Recovery Agent).
Der Domänenadministrator muss die Ausgabedatei auf den Key Recovery Agent übertragen, der das eigentliche Wiederherstellungsverfahren ausführt.
Sie müssen als Benutzer mit einem Zertifikat von Key Recovery Agent angemeldet und bei der Zertifizierungsstelle registriert sein, um dieses Verfahren ausführen zu können. Der Key Recovery Agent muss im persönlichen Zertifikatspeicher des Key Recovery Agent auf dem Computer gespeichert werden, auf dem das Verfahren zur Schlüsselwiederherstellung ausgeführt wird. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
| So stellen Sie das archivierte Zertifikat wieder her |
Geben Sie an einer Eingabeaufforderung Folgendes ein:
Certutil -recoverkey outputblob <filename>.pfx
Geben Sie ein neues Kennwort ein, wenn Sie dazu aufgefordert werden. Bestätigen Sie bei Aufforderung das Kennwort, indem Sie es ein zweites Mal eingeben.
Kopieren Sie die gespeicherte PFX-Datei auf den Computer, auf dem die Wiederherstellung ausgeführt wird.
Schließen Sie alle Fenster, und melden Sie den Computer ab.
Nach der Wiederherstellung des Schlüssels muss dieser auf dem Computer importiert werden, auf dem die Daten gespeichert sind.
Sie müssen auf dem Client angemeldet sein, für den das Zertifikat ausgestellt wurde, oder Sie müssen als Administrator auf dem Clientcomputer angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
| So importieren Sie den Wiederherstellungsschlüssel |
Öffnen Sie das Zertifikate-Snap-In für den Benutzer, für den das Zertifikat ausgestellt wurde.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Eigene Zertifikate, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.
Klicken Sie im Zertifikatimport-Assistenten auf Weiter.
Geben Sie unter Dateiname den Pfad und Namen der PFX-Datei ein, und klicken Sie dann auf Weiter.
Geben Sie unter Kennwort das Kennwort ein, das Sie im vorherigen Verfahren eingegeben haben, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Zertifikatspeicher auf Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend), und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
Doppelklicken Sie in der Konsolenstruktur auf Eigene Zertifikate, und klicken Sie dann auf Zertifikate, um zu überprüfen, ob das wiederhergestellte Zertifikat erfolgreich importiert wurde.
Doppelklicken Sie auf das Zertifikat. Klicken Sie auf die Registerkarte Details, und überprüfen Sie dann, ob die Seriennummer mit dem Original übereinstimmt.
Weitere Überlegungen
-
Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Eingabeaufforderung.