ユーザーは、秘密キーを紛失すると、そのキーで暗号化されたデータを回復できなくなります。キーを回復してクライアント コンピューターに復元することで、データを暗号化解除して使用できるようになります。

回復プロセスは、次の 3 つの手順で構成されます。

  • アーカイブされた証明書のシリアル番号の取得

  • キーの回復の実行

  • クライアントのコンピューターへのキーの復元

この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

アーカイブされた証明書のシリアル番号を取得するには

  1. 証明機関 (CA) をホストしているコンピューターにログオンします。

  2. 証明機関スナップインを開きます。

  3. コンソール ツリーで、CA 名をクリックし、[発行した証明書] をクリックします。

  4. [表示] メニューの [列の追加と削除] をクリックします。

  5. [利用可能な列] で、[アーカイブされたキー]、[追加] の順にクリックします。

    [アーカイブされたキー] が [表示される列] に表示されます。

  6. [OK] をクリックし、詳細ウィンドウで右にスクロールして、ユーザーに最後に発行された証明書の [アーカイブされたキー] 列の値が Yes であることを確認します。

  7. 証明書をダブルクリックします。

  8. [詳細] タブをクリックします。証明書のシリアル番号を記録しておきます (数字のペアの間にはスペースを入れないでください)。この情報は、回復手順を実行する際に必要になります。

    シリアル番号は 20 文字から成る 16 進の文字列です。秘密キーのシリアル番号は、証明書のシリアル番号と同じです。この手順では、シリアル番号を serialnumber と表します。

  9. [OK] をクリックし、証明機関スナップインを閉じます。

  10. コマンド プロンプトで、次のコマンドを入力します。

    Certutil -getkey <serialnumber> outputblob

    このコマンドの出力の "Recipient Info" セクションに、BLOB の暗号化を解除してキーを回復するために必要な秘密キーを持つキー回復エージェント証明書のシリアル番号が示されます。

  11. コマンド プロンプトで、次のコマンドを入力します。

    dir outputblob

    ファイル outputblob が存在しない場合は、証明書のシリアル番号を間違えて入力した可能性があります。outputblob ファイルは、キー回復エージェント証明書とユーザー証明書およびチェーンを含んでいる PKCS #7 ファイルです。ファイルの内容は、(キー回復エージェント証明書に対して暗号化された) 秘密キーを含んでいる暗号化された PKCS #7 ファイルです。

ドメイン管理者は、実際の回復手順を実行するキー回復エージェントにこの出力ファイルを転送する必要があります。

この手順を実行するユーザーには、CA に登録されたキー回復エージェント証明書が必要です。キー回復エージェントは、キー回復手順が実行されるコンピューターにあるそのキー回復エージェントの個人証明書ストアに保存する必要があります。詳細については、「役割ベースの管理を実装する」を参照してください。

アーカイブされた証明書を回復するには

  1. コマンド プロンプトで、次のコマンドを入力します。

    Certutil -recoverkey outputblob <filename>.pfx

  2. メッセージが表示されたら、新しいパスワードを入力します。さらにメッセージが表示されたら、新しいパスワードをもう一度入力してそのパスワードを確認します。

  3. 保存された .pfx ファイルを、回復が実行されるコンピューターにコピーします。

  4. ウィンドウをすべて閉じ、コンピューターからログオフします。

キーが回復されたら、データが格納されているコンピューターにそのキーをインポートする必要があります。

この手順を実行するには、証明書の発行先となったクライアントか、またはクライアント コンピューターの管理者である必要があります。詳細については、「役割ベースの管理を実装する」を参照してください。

回復されたキーをインポートするには

  1. 証明書の発行先となったユーザーの証明書スナップインを開きます。

  2. コンソール ツリーで、[個人] を右クリックし、[すべてのタスク]、[インポート] の順にクリックします。

  3. 証明書のインポート ウィザードで、[次へ] をクリックします。

  4. [ファイル名] に .pfx ファイルのパスとファイル名を入力し、[次へ] をクリックします。

  5. [パスワード] に、前の手順で入力したパスワードを入力し、[次へ] をクリックします。

  6. [証明書ストア] ページで、[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックし、[次へ] をクリックします。

  7. [証明書のインポート ウィザードの完了] ページで、[完了] をクリックします。

  8. 回復された証明書がインポートされたことを確認するには、コンソール ツリーで [個人] をダブルクリックし、[証明書] をクリックします。

  9. 証明書をダブルクリックします。[詳細] タブをクリックし、シリアル番号が元の番号と一致していることを確認します。

その他の考慮事項

  • コマンド プロンプトを開くには、[スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[コマンド プロンプト] の順にクリックします。

その他の参照情報

目次