Wie kann ich den privaten Schlüssel zu einem Zertifikat im Windows-Zertifikatspeicher sichern?
- Vorbereitungen und Voraussetzungen
- Exportieren des Zertifikats mit privatem Schlüssel
- Optionen für den privaten Schlüssel-Export
- Sicherung und Wiederherstellung
- Fazit
Private Schlüssel sind ein wesentlicher Bestandteil von Zertifikaten, da sie die Grundlage für die sichere Identifikation und Verschlüsselung bilden. In Windows werden Zertifikate und die zugehörigen privaten Schlüssel im Zertifikatspeicher verwaltet. Falls Sie den privaten Schlüssel sichern möchten, beispielsweise zur Datensicherung oder zum Exportieren auf ein anderes System, ist ein spezielles Vorgehen erforderlich, da private Schlüssel aus Sicherheitsgründen nicht einfach exportiert werden können, sofern dies nicht bei der Erstellung des Zertifikats erlaubt wurde.
Vorbereitungen und Voraussetzungen
Um einen privaten Schlüssel zu exportieren, muss das Zertifikat einschließlich des privaten Schlüssels im Zertifikatspeicher verfügbar sein und der private Schlüssel muss als exportierbar markiert worden sein. Das bedeutet, dass beim Erstellen oder Importieren des Zertifikats in den Windows-Zertifikatspeicher die Option Privater Schlüssel ist exportierbar” aktiviert wurde. Wenn diese Option nicht aktiviert wurde, kann der private Schlüssel nicht einfach exportiert werden. In solchen Fällen ist die Sicherung des Schlüssels nur über Backup-Lösungen oder Tools des ursprünglichen Anbieters möglich.
Exportieren des Zertifikats mit privatem Schlüssel
Der Windows-Zertifikatspeicher kann über die Microsoft Management Console (MMC) bearbeitet werden. Dazu öffnen Sie die MMC, fügen das Snap-In Zertifikate” hinzu und wählen den entsprechenden Speicherort (z.B. Persönlich”) aus. Dort finden Sie Ihre Zertifikate inklusive der privaten Schlüssel. Zertifikate, die einen privaten Schlüssel besitzen, sind in der Regel mit einem kleinen Schlüssel-Symbol gekennzeichnet.
Wählen Sie das gewünschte Zertifikat mit privatem Schlüssel aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie Alle Aufgaben” > Exportieren”. Der Export-Assistent wird gestartet. Im Export-Assistenten müssen Sie explizit angeben, dass der private Schlüssel zusammen mit dem Zertifikat exportiert werden soll. Dies erfolgt über die Option Ja, privaten Schlüssel exportieren”. Ist diese Option nicht auswählbar, ist der Schlüssel nicht exportierbar und Sie können den privaten Schlüssel nicht sichern.
Optionen für den privaten Schlüssel-Export
Im nächsten Schritt können Sie verschiedene Einstellungen für das zu erstellende Exportformat auswählen. Am gebräuchlichsten ist das PFX-Format (PKCS #12), mit dem Zertifikat und privater Schlüssel in einer Datei gespeichert werden. Zusätzlich können Sie Sicherheitsoptionen hinterlegen, etwa ein Kennwort zum Schutz der PFX-Datei. Dieses Kennwort sollten Sie sorgfältig wählen und an einem sicheren Ort aufbewahren, da die PFX-Datei ohne das Kennwort nicht nutzbar ist.
Weiterhin können Sie optional folgende Einstellungen anpassen: ob alle Zertifikate in der Zertifizierungskette mit exportiert werden sollen oder ob der private Schlüssel nicht exportierbar gemacht werden soll (was beim Export unüblich ist). Nach Durchlaufen des Assistenten geben Sie den Dateinamen und Speicherort für die PFX-Datei an. Abschließend startet der Exportvorgang und die Datei wird erzeugt.
Sicherung und Wiederherstellung
Die erstellte PFX-Datei enthält neben dem Zertifikat auch den privaten Schlüssel und sollte deshalb besonders sicher aufbewahrt werden. Idealerweise speichern Sie die Datei an einem verschlüsselten Ort und erstellen Backups, um Datenverlust vorzubeugen. Im Falle eines Wunderherstellens oder einem Systemwechsel kann diese PFX-Datei über den Import-Assistenten in einem neuen Zertifikatspeicher wiederhergestellt werden. Dort muss das zuvor vergebene Kennwort eingegeben werden, um privaten Schlüssel und Zertifikat zu installieren.
Fazit
Das Sichern des privaten Schlüssels ist technisch mittels des Zertifikatexports in der MMC möglich, sofern der Schlüssel ursprünglich als exportierbar markiert wurde. Dabei ist der Export im PFX-Format üblich und ermöglicht eine sichere und portable Archivierung. Für Administratoren und Nutzer ist es wichtig, den Umgang mit privaten Schlüsseln verantwortungsvoll durchzuführen, da ein Verlust oder eine unerwünschte Weitergabe die Sicherheit des gesamten Zertifikats gefährden kann.