Jump to content
Sign in to follow this  
TriplexXx

Probleme mit Erstellung eines Schlüsselwiederherstellungsagenten

Recommended Posts

Hallo.

Da ich in 2 Wochen meine 70-299 Prüfung habe, arbeite ich nochmal das ganze Buch durch.

Dabei bin ich auf ein Problem gestossen welches ich seit 5Stunden nicht lösen kann.

Finde weder im Forum noch im Internet etwas dazu.

Also.... hier mal die Fakten:

 

Server 2003 (funktionsebene = nur 2003)

Domäne, DNS, IIS, Zertifizierungsstelle

 

Nun habe ich das Problem das wenn ich eine Unternehmenszertifizierungsstelle eingerichtet habe, keinen Schlüsselwiederherstellungsagenten erstellen kann.

Wie auch auf der MS Seite beschrieben, lege ich als erstes einen neuen User an .. "kru" (key recovery user)mitglied der der domänen-admins.

Danach öffne ich active directory standort und dienste, lasse mir alle dienstknoten anzeigen.

danach gehe ich auf "services -> public key services -> certificate Templates" und öffne die Eigenschaften von KeyRecoveryAgent.

Dort deaktiviere ich dann unter Ausstellungsvorraussetzung den Punkt "Genehmigung von Zertifikatverwaltung der Zertiifizierungsstelle" .

Unter Sicherheit füge ich dann den User KRU ein und gebe ihm die Rechte Lesen und Registrieren.

Danach öffne ich die zertifizierungstelle und füge unter zertifikatsvorlagen mit einem rechtsklick die auszustellende zertifikatsvorlage für den schlüsselwiederherstellungsagenten ein.

Soweit so gut.

Will ich mit dem User nun das Zertifikat anfordern, sagt mir der Assistent: Die Zertifizierungsstelle hat die Anforderung abgelehnt. Privater Schlüssel kann nicht archiviert werden. Die Zertifizierungsstelle ist nicht für die Schlüsselarchivierung konfiguriert.

 

Ich finde nicht die Einstellung, das er mir dieses Zertifikat ausstellt.

Ich hoffe das ganze ist ausführlich genug :)

Gruß

Andreas Wilmer

Share this post


Link to post
Share on other sites

Hast du etwa in der Zertifikatsvorlage für den Schlüsselwiederherstellungsagenten auch das Häkchen "Privten Schlüssel Archivieren" gesetzt? So sieht es mir jedenfalls aus. Das darfst du nicht. Erstens geht das aus Sicherheitsgründen nicht, zweitens beisst sich Katze dann in den Schwanz: Ich brauche das Zertifikat des KRU um die Schlüsselarchivierung zu aktivieren, aber ich ich brauch die Schklüsselarchivierung um das Zertifikat ausstellen zu können, usw.

 

grizzly999

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...