사용자가 개인 키를 분실한 경우 해당 키로 암호화된 데이터를 복구할 수 없습니다. 키를 복구하여 클라이언트 컴퓨터로 복원해야 데이터를 해독하고 사용할 수 있습니다.

전체 복구 프로세스는 다음의 세 가지 절차로 이루어집니다.

  • 보관된 인증서의 일련 번호를 얻습니다.

  • 키 복구를 수행합니다.

  • 키를 클라이언트의 컴퓨터로 복원합니다.

이 절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

보관된 인증서의 일련 번호를 얻으려면
  1. CA(인증 기관)를 호스팅하는 컴퓨터에 로그온합니다.

  2. 인증 기관 스냅인을 엽니다.

  3. 콘솔 트리에서 CA 이름을 클릭하고 발급된 인증서를 클릭합니다.

  4. 보기 메뉴에서 열 추가/제거를 클릭합니다.

  5. 사용 가능한 열에서 보관된 키를 클릭하고 추가를 클릭합니다.

    보관된 키이제 표시된 열에 나타납니다.

  6. 확인을 클릭하고 세부 정보 창에서 오른쪽으로 스크롤하여 사용자에게 발급된 마지막 인증서의 보관된 키 열 값이 인지 확인합니다.

  7. 인증서를 두 번 클릭합니다.

  8. 자세히 탭을 클릭합니다. 인증서의 일련 번호를 기록합니다. 이때 숫자 부분 사이에 공백을 넣지 마십시오. 복구 절차를 완료하려면 이 정보가 필요합니다.

    일련 번호는 길이가 20자인 16진수 문자열입니다. 개인 키의 일런 변호는 인증서의 일련 번호와 같습니다. 이 절차에서는 일련 번호를 serialnumber라고 합니다.

  9. 확인을 클릭하여 인증 기관 스냅인을 닫습니다.

  10. 명령 프롬프트에 다음을 입력합니다.

    Certutil -getkey <serialnumber> outputblob
    참고

    이 명령의 출력 중 수신자 정보 섹션에 BLOB을 해독하고 키를 복구하는 데 필요한 개인 키를 가진 키 복구 에이전트 인증서의 일련 번호가 표시됩니다.

  11. 명령 프롬프트에 다음을 입력합니다.

    dir outputblob 
    참고

    outputblob 파일이 없는 경우는 인증서 일련 번호를 잘못 입력했을 수 있습니다. outputblob 파일은 키 복구 에이전트 인증서와 사용자 인증서 및 체인이 포함된 PKCS #7 파일입니다. 내부 내용은 개인 키(키 복구 에이전트 인증서로 암호화된)가 포함된 암호화된 PKCS #7 파일입니다.

도메인 관리자는 실제 복구 절차를 수행할 키 복구 에이전트에게 출력 파일을 전송해야 합니다.

이 절차를 완료하려면 CA에 등록된 키 복구 에이전트 인증서를 가진 사용자여야 합니다. 키 복구 에이전트는 키 복구 절차를 수행할 컴퓨터에 있는 키 복구 에이전트의 개인 인증서 저장소에 저장해야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

보관된 인증서를 복구하려면
  1. 명령 프롬프트에 다음을 입력합니다.

    Certutil -recoverkey outputblob <filename>.pfx
  2. 메시지가 표시되면 새 암호를 입력합니다. 요청에 따라 암호를 한 번 더 입력하여 새 암호를 확인합니다.

  3. 저장된 .pfx 파일을 복구를 수행할 컴퓨터로 복사합니다.

  4. 모든 창을 닫고 컴퓨터에서 로그오프합니다.

키가 복구되면 데이터가 저장된 컴퓨터로 키를 가져와야 합니다.

이 절차를 완료하려면 인증서가 발급된 대상 클라이언트이거나 클라이언트 컴퓨터의 관리자여야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

복구된 키를 가져오려면
  1. 인증서가 발급된 사용자에 대한 인증서 스냅인을 엽니다.

  2. 콘솔 트리에서 개인용을 마우스 오른쪽 단추로 클릭한 다음 모든 작업, 가져오기를 차례로 클릭합니다.

  3. 인증서 가져오기 마법사에서 다음을 클릭합니다.

  4. 파일 이름에 .pfx 파일의 경로와 파일 이름을 입력하고 다음을 클릭합니다.

  5. 암호에 이전 절차에서 입력한 암호를 입력하고 다음을 클릭합니다.

  6. 인증서 저장소 페이지에서 인증서 종류 기준으로 인증서 저장소를 자동으로 선택을 클릭하고 다음을 클릭합니다.

  7. 인증서 가져오기 마법사 완료 페이지에서 마침을 클릭합니다.

  8. 복구된 인증서를 제대로 가져왔는지 확인하려면 콘솔 트리에서 개인용을 두 번 클릭하고 인증서를 클릭합니다.

  9. 인증서를 두 번 클릭합니다. 자세히 탭을 클릭한 다음 일련 번호가 원본과 일치하는지 확인합니다.

추가 고려 사항

  • 명령 프롬프트를 열려면 시작을 클릭하고 모든 프로그램을 가리키고 보조프로그램을 클릭한 다음 명령 프롬프트를 클릭합니다.

추가 참조


목차