Ein Key Recovery Agent ist eine Person, die für die Wiederherstellung eines Zertifikats im Namen eines Endbenutzers autorisiert ist. Da Key Recovery Agents mit vertraulichen Daten in Berührung kommen, sollten nur äußerst vertrauenswürdige Personen mit dieser Aufgabe betraut werden.

Wenn Sie einen Key Recovery Agent bestimmen möchten, müssen Sie die Zertifikatvorlage für Key Recovery Agents konfigurieren, damit sich die mit dieser Verantwortung betraute Person für ein Zertifikat von Key Recovery Agent registrieren kann.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So konfigurieren Sie die Zertifikatvorlage für Key Recovery Agent
  1. Öffnen Sie das Zertifikatvorlagen-Snap-In.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Zertifikatvorlage Key Recovery Agent.

  3. Klicken Sie auf Doppelte Vorlage.

  4. Klicken Sie im Dialogfeld Doppelte Vorlage auf Windows Server 2003 Enterprise Edition, wenn nicht alle Zertifizierungsstellen (Certification Authorities, CAs) und Clientcomputer unter Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista ausgeführt werden.

  5. Geben Sie unter Vorlage einen neuen Vorlagenanzeigenamen ein, und ändern Sie dann bei Bedarf weitere optionale Eigenschaften.

  6. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, geben Sie die Namen der Benutzer ein, für die die Zertifikate von Key Recovery Agent ausgestellt werden sollen, und klicken Sie dann auf OK.

  7. Wählen Sie unter Gruppen- oder Benutzernamen die Benutzernamen aus, die Sie gerade hinzugefügt haben. Aktivieren Sie unter Berechtigungen die Kontrollkästchen Lesen und Registrieren, und klicken Sie dann auf OK.

    Hinweis

    Es wird empfohlen, die automatische Registrierung für Zertifikate von Key Recovery Agent nicht zu verwenden, um die Sicherheit und Steuerung des Schlüsselwiederherstellungsverfahrens zu verbessern.

Bevor sich der neue Key Recovery Agent für ein Zertifikat registrieren kann, das auf der neuen von Ihnen erstellten Zertifikatvorlage basiert, muss die Vorlage zunächst der Zertifizierungsstelle hinzugefügt werden. Weitere Informationen zum Durchführen dieses Verfahrens finden Sie im Abschnitt zum Hinzufügen einer Zertifikatvorlage zu einer Zertifizierungsstelle unter https://go.microsoft.com/fwlink/?LinkId=147110 (möglicherweise in englischer Sprache).

Wenn das Zertifikat mit den Berechtigungen Lesen und Registrieren konfiguriert wurde, muss der neue Key Recovery Agent mithilfe des Zertifikate-Snap-Ins und des Zertifikatimport-Assistenten ein Schlüsselwiederherstellungszertifikat abrufen. Wenn die Zertifikatvorlage mit der Berechtigung Automatisch registrieren konfiguriert wurde, wird das Zertifikat automatisch ausgestellt, sobald sich der Benutzer das nächste Mal am Netzwerk anmeldet.

Hinweis

Das Kontrollkästchen Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle ist auf der Registerkarte Ausstellungsvoraussetzungen standardmäßig aktiviert. Wenn Sie dieses Kontrollkästchen nicht deaktivieren, muss eine Zertifizierungsstellenverwaltung die Zertifikatanforderung genehmigen, bevor ein Zertifikat von Key Recovery Agent ausgestellt wird.

Das nächste Verfahren, Aktivieren der Schlüsselarchivierung für eine Zertifizierungsstelle, kann erst ausgeführt werden, wenn der Key Recovery Agent dieses Zertifikat abgerufen hat.


Inhaltsverzeichnis