K archivaci klíče dochází při vystavení certifikátu. Před vystavením certifikátu založeného na šabloně je proto nutné danou šablonu certifikátu upravit pro archivaci klíčů.

Důrazně doporučujeme použít archivaci klíčů se šablonou certifikátu Základní systém souborů EFS, aby byli uživatelé chráněni před ztrátou dat, ale lze ji výhodně využít i při použití s jinými typy certifikátů.

K provedení tohoto postupu jsou nutná minimálně oprávnění skupiny Domain Admins nebo Enterprise Admins nebo ekvivalentní oprávnění. Další informace naleznete v tématu Implementace správy založené na rolích.

Konfigurace šablony certifikátu pro archivaci a obnovení klíče

  1. Spusťte modul snap-in Šablony certifikátů.

  2. V podokně podrobností klikněte pravým tlačítkem myši na šablonu certifikátu, kterou chcete změnit, a potom klikněte na příkaz Vytvořit duplikát šablony.

  3. Pokud všechny vaše certifikační autority a všechny klientské počítače nepoužívají systém Windows Server 2008 R2, Windows Server 2008, Windows 7 nebo Windows Vista, zaškrtněte v dialogovém okně Vytvořit duplikát šablony políčko Windows Server 2003 Enterprise.

  4. Zadejte do pole Šablona zobrazovaný název nové šablony a podle potřeby upravte jakékoli jiné volitelné vlastnosti.

  5. Na kartě Zabezpečení klikněte na možnost Přidat, zadejte jména uživatelů nebo názvy skupin, kterým chcete vystavit certifikáty, a klikněte na tlačítko OK.

  6. V seznamu Název skupiny nebo jméno uživatele vyberte jména uživatelů nebo názvy skupin, které jste přidali. V části Oprávnění zaškrtněte políčka Číst a Zapsat, a pokud chcete, aby byl certifikát vystaven automaticky, zaškrtněte také políčko Automatický zápis.

    Poznámka

    Chcete-li implementovat automatický zápis, je nutné zaškrtnout všechna tři políčka.

  7. Na kartě Vyřízení žádosti zaškrtněte políčko Archivovat privátní klíč šifrování subjektu.

  8. Pokud již uživatelé mají certifikáty systému souborů EFS, které nejsou konfigurovány pro archivaci a obnovení klíče, klikněte na kartě Nahrazené šablony na možnost Přidat a klikněte na název šablony, kterou chcete nahradit.

  9. Klikněte na tlačítko OK.

Dokud uživatelé nezapíší certifikát s povoleným obnovením klíče, nejsou archivací klíče chráněni. Pokud používají identické certifikáty vystavené před povolením archivace klíče, archivace klíče se na ně nevztahuje. Mají-li klienti obdržet certifikát založený na změněné šabloně v případě, že již mají platný certifikát vystavený na základě staré šablony, je nutné klienty znovu zapsat. Další informace o obnovení zápisu klientů naleznete v tématu Obnova zápisu všech držitelů certifikátů (https://go.microsoft.com/fwlink/?LinkId=147103 (stránka může být v angličtině)).

Další informace

Obsah