Die Schlüsselarchivierung erfolgt, wenn ein Zertifikat ausgestellt wird. Deshalb müssen an einer Zertifikatvorlage Änderungen zum Archivieren von Schlüsseln vorgenommen werden, bevor Zertifikate basierend auf dieser Vorlage ausgestellt werden.
Es wird dringend empfohlen, die Schlüsselarchivierung für die EFS-Zertifikatvorlage (Encrypting File System, verschlüsselndes Dateisystem) zu verwenden, um Benutzer vor Datenverlust zu schützen. Die Schlüsselarchivierung kann jedoch auch für andere Zertifikattypen nützlich sein.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
So konfigurieren Sie eine Zertifikatvorlage für die Schlüsselarchivierung und -wiederherstellung |
Öffnen Sie das Zertifikatvorlagen-Snap-In.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Doppelte Vorlage.
Klicken Sie im Dialogfeld Doppelte Vorlage auf Windows Server 2003 Enterprise Edition, wenn nicht alle Zertifizierungsstellen (Certification Authorities, CAs) und Clientcomputer unter Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista ausgeführt werden.
Geben Sie unter Vorlage einen neuen Vorlagenanzeigenamen ein, und ändern Sie dann bei Bedarf weitere optionale Eigenschaften.
Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, geben Sie die Namen der Benutzer oder Gruppen ein, für die die Zertifikate ausgestellt werden sollen, und klicken Sie dann auf OK.
Wählen Sie unter Gruppen- oder Benutzernamen die Benutzer- oder Gruppennamen aus, die Sie gerade hinzugefügt haben. Aktivieren Sie unter Berechtigungen die Kontrollkästchen Lesen und Registrieren. Aktivieren Sie zusätzlich das Kontrollkästchen Automatisch registrieren, wenn die Zertifikate automatisch ausgestellt werden sollen.
Hinweis Zur Implementierung der automatischen Registrierung müssen alle drei Kontrollkästchen aktiviert werden.
Aktivieren Sie auf der Registerkarte Anforderungsverarbeitung das Kontrollkästchen Privaten Schlüssel für die Verschlüsselung archivieren.
Wenn Benutzer bereits über EFS-Zertifikate verfügen, die nicht für die Schüsselarchivierung und -wiederherstellung konfiguriert wurden, klicken Sie auf die Registerkarte Abgelöste Vorlagen, klicken Sie auf Hinzufügen, und klicken Sie anschließend auf den Namen der Vorlage, die Sie ersetzen möchten.
Klicken Sie auf OK.
Benutzer werden erst durch die Schlüsselarchivierung geschützt, wenn sie sich für ein Zertifikat mit aktivierter Schlüsselwiederherstellung registriert haben. Wenn sie über identische Zertifikate verfügen, die vor der Aktivierung der Schlüsselwiederherstellung ausgestellt wurden, werden sie nicht durch die Schlüsselarchivierung geschützt. Clients, die bereits über ein gültiges Zertifikat verfügen, das auf der alten Vorlage basiert, müssen erneut registriert werden, um ein Zertifikat abzurufen, das auf der geänderten Vorlage basiert. Weitere Informationen zum erneuten Registrieren von Clients finden Sie im Abschnitt zum erneuten Registrieren aller Zertifikatinhaber unter