Uživatelé, kteří ztratí privátní klíč, nebudou moci obnovit data, která jsou tímto klíčem šifrována. Po obnovení klíče a jeho vrácení do klientského počítače je možné data dešifrovat a používat.

Celý proces obnovení zahrnuje následující tři kroky:

  • Získání sériového čísla archivovaného certifikátu

  • Obnovení klíče

  • Vrácení klíče do klientského počítače

Minimálním požadavkem k provedení tohoto postupu je, aby byl uživatel členem skupiny Domain Admins nebo měl srovnatelné oprávnění. Další informace naleznete v tématu Implementace správy založené na rolích.

Získání sériového čísla archivovaného certifikátu

  1. Přihlaste se do počítače hostujícího certifikační autoritu.

  2. Spusťte modul snap-in Certifikační autorita.

  3. Ve stromu konzoly klikněte na název certifikační autority a potom klikněte na možnost Vystavené certifikáty.

  4. V nabídce Zobrazit klikněte na příkaz Přidat nebo odebrat sloupce.

  5. V části Dostupné sloupce klikněte na položku Archivovaný klíč a potom klikněte na tlačítko Přidat.

    Položka Archivovaný klíč by se měla objevit v seznamu Zobrazené sloupce.

  6. Klikněte na tlačítko OK a pak posuňte obsah podokna podrobností doprava a zkontrolujte, zda je u naposledy vydaného certifikátu uživateli ve sloupci Archivovaný klíč uvedena hodnota Ano.

  7. Dvakrát klikněte na certifikát.

  8. Klikněte na kartu Podrobnosti. Zaznamenejte sériové číslo certifikátu. Mezery mezi dvojicemi číslic vynechte. Tyto informace budete potřebovat k dokončení procesu obnovení.

    Sériové číslo je tvořeno dvacetimístným šestnáctkovým řetězcem. Sériové číslo privátního klíče je totožné se sériovým číslem certifikátu. V tomto postupu budeme sériové číslo označovat textem serialnumber.

  9. Klikněte na tlačítko OK a zavřete modul snap-in Certifikační autorita.

  10. Na příkazovém řádku zadejte:

    Certutil -getkey <serialnumber> outputblob
    Poznámka

    V části informací pro příjemce ve výstupu tohoto příkazu jsou označena sériová čísla certifikátů agenta obnovení klíčů, jejichž privátní klíče jsou potřebné pro dešifrování objektu BLOB a obnovení klíče.

  11. Na příkazovém řádku zadejte:

    dir outputblob
    Poznámka

    Pokud soubor outputblob neexistuje, pravděpodobně jste zadali nesprávné sériové číslo certifikátu. Soubor outputblob je typu PKCS č. 7 a obsahuje certifikáty agenta obnovení klíčů, uživatelský certifikát a řetězec. Vnitřní obsah tvoří zašifrovaný soubor PKCS č. 7 obsahující privátní klíč (zašifrovaný pomocí certifikátů agenta obnovení klíčů).

Správce domény musí převést výstupní soubor do agenta obnovení klíčů, který provede skutečný proces obnovení.

Tento postup může provést pouze uživatel s certifikátem agenta obnovení klíčů, který je registrován v certifikační autoritě. Agenta obnovení klíčů je nutné uložit v osobním úložišti certifikátů agenta obnovení klíčů v počítači, ve kterém bude proveden postup obnovení klíče. Další informace naleznete v tématu Implementace správy založené na rolích.

Obnovení archivovaného certifikátu

  1. Na příkazovém řádku zadejte:

    Certutil -recoverkey outputblob <filename>.pfx

  2. Po zobrazení výzvy zadejte heslo. Pokud je to požadováno, potvrďte nové heslo tím, že je znovu zadáte.

  3. Zkopírujte uložený soubor PFX do počítače, ve kterém bude provedeno obnovení.

  4. Zavřete všechna okna a odhlaste se od počítače.

Po obnovení klíče je nutné jej importovat do počítače, ve kterém jsou uložena data.

Tento proces může provést pouze klient, kterému byl certifikát vydán, nebo správce klientského počítače. Další informace naleznete v tématu Implementace správy založené na rolích.

Import obnoveného klíče

  1. Otevřete modul snap-in Certifikáty pro uživatele, kterému byl certifikát vydán.

  2. Ve stromu konzoly klikněte pravým tlačítkem na položku Osobní, přejděte na položku Všechny úkoly a pak klikněte na příkaz Importovat.

  3. V Průvodci importem certifikátu klikněte na tlačítko Další.

  4. Do pole Název souboru zadejte cestu k souboru a název souboru PFX a klikněte na tlačítko Další.

  5. Do pole Heslo zadejte heslo zadané v předchozím postupu a klikněte na tlačítko Další.

  6. Na stránce Úložiště certifikátů vyberte přepínač Automaticky vybrat úložiště certifikátů na základě typu certifikátu a pak klikněte na tlačítko Další.

  7. Na stránce Dokončení Průvodce importem certifikátu klikněte na tlačítko Dokončit.

  8. Pokud chcete ověřit, že obnovený certifikát byl úspěšně importován, dvakrát klikněte ve stromu konzoly na položku Osobní a klikněte na možnost Certifikáty.

  9. Dvakrát klikněte na certifikát. Klikněte na kartu Podrobnosti a ověřte, zda sériové číslo odpovídá původnímu číslu.

Další požadavky

  • Chcete-li otevřít příkazový řádek, klikněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a klikněte na položku Příkazový řádek.

Další informace

Obsah