Das Zertifikat des Key Recovery Agents läuft demnächst ab.
Die Active Directory-Zertifikatsdienste (AD CS) erfordern Zertifikate des Schlüsselwiederherstellungs-Agents, Austauschzertifikate (XCHG) und Schlüssel zur Unterstützung der Schlüsselarchivierung. Die Funktion der Zertifikate des Schlüsselwiederherstellungs-Agents, der XCHG-Zertifikate und die zum Erstellen dieser Zertifikate erforderlichen Kryptografiedienstanbieter sind für eine Public Key-Infrastruktur entscheidend.
Das demnächst ablaufende Zertifikat des Key Recovery Agents erneuern
Ablaufende Zertifikate des Key Recovery Agents können nicht länger für die Schlüsselwiederherstellung verwendet werden. Damit Sie die Schlüsselarchivierung weiterhin verwenden können, erneuern Sie das Zertifikat des Key Recovery Agents.
Damit Sie dieses Verfahren ausführen können, müssen Sie der Benutzer sein, der das Zertifikat des Key Recovery Agents registriert hat.
So erneuern Sie ein Key Recovery Agent-Zertifikat
Klicken Sie auf Start, geben Sie certmgr.msc ein, und drücken Sie die EINGABETASTE.
Doppelklicken Sie in der Konsolenstruktur auf Zertifikate, dann auf Eigene Zertifikate, und klicken Sie dann auf Zertifikate.
Klicken Sie mit der rechten Maustaste auf das Zertifikat des Key Recovery Agents, zeigen Sie auf Alle Aufgaben, und klicken Sie auf Zertifikat mit neuem Schlüssel erneuern, oder klicken Sie auf Erweiterte Vorgänge und Dieses Zertifikat mit demselben Schlüssel erneuern, um den Zertifikaterneuerungs-Assistenten zu starten.
Befolgen Sie diese Schritte im Assistenten, um das Zertifikat zu erneuern.
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle.
Klicken Sie im Menü Aktion auf Eigenschaften.
Klicken Sie auf die Registerkarte Wiederherstellungs-Agents, und klicken Sie dann auf Schlüssel archivieren.
Geben Sie in Anzahl der zu verwendenden Wiederherstellungs-Agents die Anzahl der Key Recovery Agents ein, die zum Verschlüsseln des archivierten Schlüssels verwendet werden. Der Wert für die Anzahl der zu verwendenden Wiederherstellungs-Agents muss zwischen eins und der Anzahl von konfigurierten Key Recovery Agent-Zertifikaten liegen. Klicken Sie auf Hinzufügen.
Klicken Sie in Key Recovery Agent-Auswahl auf die angezeigten Schlüsselwiederherstellungszertifikate, und klicken Sie dann auf OK. Die Zertifikate sollten in der Liste der Zertifikate des Key Recovery Agents angezeigt werden, aber ihr Status wird als Nicht geladen aufgeführt.
Klicken Sie auf OK oder Übernehmen. Wenn Sie aufgefordert werden, die Zertifizierungsstelle neu zu starten, klicken Sie auf Ja. Nachdem die Zertifizierungsstelle neu gestartet wurde, sollte der Status der Zertifikate als Gültig aufgeführt werden.
So bestätigen Sie, dass die Schlüsselarchivierung und -wiederherstellung ordnungsgemäß funktionieren
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Wiederherstellungs-Agents.
Bestätigen Sie, dass alle Zertifikate des Schlüsselwiederherstellungs-Agents als Gültig aufgelistet werden.
Bestätigen Sie im Container "Zertifikatvorlagen", dass für ein Verschlüsselungszertifikat die Option Privaten Schlüssel für die Verschlüsselung archivieren auf der Registerkarte Anforderungsverarbeitung konfiguriert ist.
Öffnen Sie das Snap-In "Zertifikate" für ein Benutzerkonto, das über die Berechtigungen zum Registrieren für ein Zertifikat verfügt, das auf dieser Zertifikatvorlage basiert.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Eigene Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern, um den Assistenten für die Zertifikatregistrierung zu starten.
Registrieren Sie ein Zertifikat auf Basis der Verschlüsselungsvorlage, und bestätigen Sie, dass die Registrierung erfolgreich ohne Fehler abgeschlossen wurde.
Öffnen Sie nach Abschluss der Registrierung das Snap-In "Zertifizierungsstelle".
Klicken Sie in der Konsolenstruktur auf Ausgestellte Zertifikate.
Suchen Sie den Eintrag für das soeben ausgestellte Zertifikat, und fügen Sie die Spalte Archivierter Schlüssel zur Snap-In-Anzeigeliste hinzu.
Bestätigen Sie, dass das Wort Ja in der Spalte Archivierter Schlüssel für das soeben ausgestellte Zertifikat angezeigt wird.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 127 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.127" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>