Jump to content

Archivierte Zertifikate auf CA wiederherstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

hat jemand von euch schon mal ein archiviertes Zertifikat wiederhergestellt.

 

Ich habe einen Benutzer, der hat ein Benutzerzertifikat gehabt.

Dieses wurde bei ihm im Store gelöscht.

 

Ausgestellte Zertifikate werden bei uns in der CA archiviert.

 

Wenn ich über.

 

certutil -getkey den export des blobfiles mache, wird die datei erstellt.

bei

certutil -recoverkey sollte normalerweise das blobfile in ein pfx gewandelt werden, welches ich dann im Benutzerkonto wieder herstellen kann.

 

ich bekomme einen Fehler, der mir sagt, dass der private Schlüssel nicht gefunden werden kann.

 

Hat jemand ne Ahnung, wie ich ein Archiviertes Zertifikat wieder herstellen kann?

Hat das schon mal jemand geschafft?

 

Alle Ansätze von MS enden mit einer Fehlermeldung.

Link zu diesem Kommentar

Hi,

 

welche Meldung bekommst Du denn genau? Mit den angegebenen Informationen kann man nur raten...

 

Welche Befehle hast Du genau genutzt, also inkl. Pfadangabe usw.?

 

Hast Du den privaten Schlüssel und das Zertifikat des Key Recovery Agents im Speicher des Benutzers, der das "recoverkey" durchführt?

 

P.S.: Solche Tests macht man normalerweise, BEVOR ein Recovery wirklich notwendig wird. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

hallo, die fehlermeldung kommt ja beim test.

ich schalt doch net was online, wenn ich nicht sicher bin, dass es nicht funktioniert. ;)

 

Problem tritt auf wenn...

 

Archivierung auf Ca aktiviert. neues User zertifikat erstellt (ist archiviert) wird in Ca angezeigt.

 

Wenn ich nun den priv. Schlüssel des User Zertifikats wiederherstellen möchte mache ich das wie folgt.

 

auf Ca:

 

certutil -getkey <Seriennummer des Zertifikats> c:\output.p7b

(Datei aus BLOB des Keys wird erstellt)

 

danach

 

certutil -recoverkey c:\output.p7b c:\privaterkey.pfx

 

dann kommt folgender Fehler:

--------------------------------------------------------------------------

C:\Users\Administrator.SEMINAR1>certutil -recoverkey c:\output.p7b c:\test.pfx

 

Berechneter Hash: 45 4b fb 2d a0 f7 32 04 97 9c 0e 16 71 01 bc a8 d2 fa 64 96

 

Benutzerzertifikat:

Seriennummer: 11092dec00000000000e

Aussteller: CN=seminar1-S1R2-CA, DC=seminar1, DC=intern

Antragsteller: E=test@seminar.de, CN=test user, OU=OU-Zert-User, DC=seminar1

, DC=intern

Zertifikathash(sha1): 11 fd 40 07 92 bb 98 a7 ab d4 56 fd 15 97 2d 43 08 61

3e 60

Der Nachrichteninhalt kann nicht entschlüsselt werden.

 

Die Schlüsselwiederherstellung erfordert eines der folgenden Zertifikate und des

sen privaten Schlüssel:

 

Empfängerinformationen[0]:

CMSG_KEY_TRANS_RECIPIENT(1)

CERT_ID_ISSUER_SERIAL_NUMBER(1)

Seriennummer: 619afdfa000000000009

Aussteller: CN=seminar1-S1R2-CA, DC=seminar1, DC=intern

Antragsteller: CN=Administrator, CN=Users, DC=seminar1, DC=intern

CertUtil: -RecoverKey-Befehl ist fehlgeschlagen: 0x8009200c (-2146885620)

CertUtil: Das Zertifikat und der private Schlüssel für die Entschlüsselung wurde

n nicht gefunden.

-------------------------------------------------------------------------

 

Nun mein problem, hat schon mal jemand von einem archiviertem Zertifikat den privaten Schlüssen wiederhergestellt?

Hat es funktioniert. Man findet niergends was im Inet dazu. Wahrscheinlich funtkioniert es gar nicht. Wieso gibt es dann die Archivierung für Zertifikate?

Link zu diesem Kommentar
Nun mein problem, hat schon mal jemand von einem archiviertem Zertifikat den privaten Schlüssen wiederhergestellt?

 

Ja.

 

Hat es funktioniert.

 

Ja.

 

Man findet niergends was im Inet dazu.

 

Doch, jede Menge, z.B.:

 

Troubleshooting - Key Archival and Management in Windows Server 2003

Understanding User Key Recovery

 

Wahrscheinlich funtkioniert es gar nicht.

 

Doch. Ist hier wahrscheinlich ein individuelles, kein konzeptionelles Problem.

 

Wieso gibt es dann die Archivierung für Zertifikate?.

 

Unter anderem, um die von Dir genannte Situation zu bereinigen.

Link zu diesem Kommentar

Hi,

 

die Frage nach dem Key Recovery Agent Zertifikat habe ich oben schon gestellt. 3 Stunden testen können 2 Minuten lesen ersparen...

 

Den Schlüssel mußt Du ja irgendwo erstellt haben - vielleicht auf der CA? Ggf. kannst Du die "request Maschine" herausfinden, indem Du wie folgst vorgehst und Dir die Benutzerkosten auf der Maschine anschaust: Von welchem Client aus wurde eine Benutzer-Zertifikatanforderung durchgeführt? - Aktives Verzeichnis Blog - Site Home - TechNet Blogs

 

Viele Grüße

olc

Link zu diesem Kommentar

Hallo,

habe es nun hinbekommen, das Problem ist, dass zwar alle Schritte in den Technet Artikeln gut beschrieben sind, aber der Punkt, dass ich einfach das Zertifikat aus der CA exportieren muss und in den Userstore des KRA importieren muss nicht.

 

Der private Schlüssel liegt ja auf im Zertifikatsspeicher des KRA-Users. Aber es muss ja der öffentliche schlüssel des KRA in den Store des KRA Users.

 

Der private Schlüssel des KRA lässt sich ja nicht aus der CA exportieren

Link zu diesem Kommentar

Hi,

 

Du hast oben geschrieben, daß Du das "Zertifikat" im Benutzerspeicher hattest - genau das *ist* der öffentliche Schlüssel, um genau zu sein enthält das Zertifikat den öffentlichen Schlüssel.

 

Den privaten Schlüssel des KRA mußt Du nicht recovern, den hast Du ja beim Erstellen des Zertifikats + privaten Schlüssel irgendwo beantragt und exportiert.

 

Aber gut, hauptsache es läuft nun. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi Ivey,

 

ja - ein wenig irreführend. Der Hintergrund ist jedoch der: Die Zuordnung vom privaten Schlüssel zum öffentlichen Schlüssel erfolgt über das Zertifikat. Der Speicher kann nur dann den privaten Schlüssel nutzen, wenn er auch das Zertifikat als Referenz hat - sonst weiß er schlichtweg nicht, zu "wem" der private Schlüssel gehört.

 

Daher mein Hinweis oben, am besten das KRA *.PFX zu importieren, dann hast Du nämlich gleich beide Teile im Speicher. :)

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...