Wenn Benutzer private Schlüssel verlieren, ist der Zugriff auf permanent mit dem entsprechenden öffentlichen Schlüssel verschlüsselte Informationen nicht mehr möglich. Mithilfe der Schlüsselarchivierung und -wiederherstellung können verschlüsselte Daten vor dauerhaftem Verlust geschützt werden, z. B. wenn ein Betriebssystem neu installiert werden muss und das Benutzerkonto, für das der Verschlüsselungsschlüssel ursprünglich ausgestellt wurde, nicht mehr verfügbar ist oder der Schlüssel aus anderen Gründen nicht mehr zur Verfügung steht. Zum Schutz von privaten Schlüsseln können mit Microsoft Unternehmenszertifizierungsstellen (Certification Authorities, CAs) die Schlüssel eines Benutzers in einer Datenbank archiviert werden, wenn Zertifikate ausgestellt werden. Diese Schlüssel werden von der Zertifizierungsstelle verschlüsselt und gespeichert.
Mithilfe dieses Archivs privater Schlüssel kann der Schlüssel zu einem späteren Zeitpunkt wiederhergestellt werden. Die Schlüsselwiederherstellung erfordert einen Administrator, der das verschlüsselte Zertifikat und den verschlüsselten privaten Schlüssel abruft, und einen Key Recovery Agent zur Entschlüsselung. Wenn eine ordnungsgemäß signierte Schlüsselwiederherstellungsanforderung empfangen wird, werden dem Anforderer das Zertifikat und der private Schlüssel des Benutzers bereitgestellt. Der Anforderer verwendet dann den Schlüssel soweit erforderlich oder überträgt den Schlüssel auf sichere Weise zur weiteren Verwendung an den Benutzer. Solange der private Schlüssel nicht gefährdet ist, muss das Zertifikat nicht durch einen anderen Schlüssel ersetzt oder erneuert werden.
Die Schlüsselarchivierung und -wiederherstellung ist nicht standardmäßig aktiviert. Für viele Organisationen stellt die Speicherung des privaten Schlüssels an mehreren Standorten ein Sicherheitsrisiko dar. Indem Organisationen darüber entscheiden müssen, welche Zertifikate mit der Schlüsselarchivierung und -wiederherstellung geschützt werden und wer archivierte Schlüssel wiederherstellen kann, wird sichergestellt, dass die Schlüsselarchivierung und -wiederherstellung verwendet wird, um die Sicherheit zu erhöhen, anstatt diese zu beeinträchtigen.
Sie müssen als Zertifizierungsstellenadministrator angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
 | So konfigurieren Sie die Umgebung für die Schlüsselarchivierung von EFS-Zertifikaten (Encrypting File System, verschlüsselndes Dateisystem) |
Erstellen Sie ein Key Recovery Agentkonto, oder bestimmen Sie einen vorhandenen Benutzer als Key Recovery Agent.
Konfigurieren Sie die Zertifikatvorlage für Key Recovery Agent, und registrieren Sie Key Recovery Agent für ein Zertifikat von Key Recovery Agent. Weitere Informationen finden Sie unter Identifizieren eines Key Recovery Agent.
Registrieren Sie den neuen Key Recovery Agent bei der Zertifizierungsstelle. Weitere Informationen finden Sie unter Aktivieren der Schlüsselarchivierung für eine Zertifizierungsstelle.
Konfigurieren Sie eine Zertifikatvorlage (z. B. Basis-EFS) für die Schlüsselarchivierung, und registrieren Sie Benutzer für das neue Zertifikat. Wenn Benutzer bereits über EFS-Zertifikate verfügen, stellen Sie sicher, dass das neue Zertifikat das Zertifikat ohne Schlüsselarchivierung ablöst. Weitere Informationen finden Sie unter Konfigurieren einer Zertifikatvorlage für die Schlüsselarchivierung.
Registrieren Sie Benutzer für Verschlüsselungszertifikate, die auf der neuen Zertifikatvorlage basieren.
Benutzer werden erst durch die Schlüsselarchivierung geschützt, wenn sie sich für ein Zertifikat mit aktivierter Schlüsselwiederherstellung registriert haben. Wenn sie über identische Zertifikate verfügen, die vor der Aktivierung der Schlüsselwiederherstellung ausgestellt wurden, werden mit diesen Schlüsseln verschlüsselte Daten nicht durch die Schlüsselarchivierung geschützt.
Weitere Informationen zur Schlüsselarchivierung und -wiederherstellung finden Sie im Thema zur Schlüsselarchivierung und -wiederherstellung unter Windows Server 2008 (