Die Zertifikatsvorlage für den Key Recovery Agent konfigurieren
- Server Manager > Local Server > Tools > Certification Authority
- Einfaches-Netzwerk SubCA erweitern
- Certificate Templates rechts anklicken > Manage
- Die Zertifikatsvorlage Key Recovery Agent rechts anklicken > Duplicate Template
- Properties of New Template
- Reiter General
- Template display name: CUSTOM – Key Recovery Agent
- Validity period: 5 years
- Reiter Issuance Requirements
- CA certificate manager approval deaktivieren
- CA certificate manager approval deaktivieren
- Reiter General
- Mit OK schließen
- In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
- CUSTOM – Key Recovery Agent markieren > OK
Die Konfiguration für die Schlüsselarchivierung kann erst abgeschlossen werden, wenn der KRA das Zertifikat angefordert hat.
Das Zertifikat für den Key Recovery Agent anfordern
- MMC (Admin) starten
- Das Snap-in Certificates für My user account importieren
- Certificates erweitern
- Personal rechts anklicken > All Tasks > Request New Certificate…
- Certificate Enrollment
- Before You Begin: Next
- Select Certificate Enrollment Policy: Next
- Request Certificates: CUSTOM – Key Recovery Agent > Enroll
- Das Zertifikat wird angefordert > Finish
- Den Ordner Certificates anklicken > Fenster schließen
Jetzt kann die Schlüsselarchivierung (Key Archival) aktiviert werden.
Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren
- In der Certification Authority-Konsole Einfaches-Netzwerk SubCA rechts anklicken > Properties
- Zum Reiter Recovery Agents wechseln
- Archive the key aktivieren > Add…
- Das Zertifikat KeyRecoveryAgent markieren > OK
- Das Zertifikat wird in der Liste Key recovery agent certificates mit dem Status Not Loaded angezeigt
- Auf Apply klicken
- Die Frage über den Neustart des CertSvc mit Yes beantworten
- Das Zertifikat hat jetzt den Status Valid
- Fenster mit OK schließen