Jestliže uživatel ztratí svůj privátní klíč, veškeré informace, které byly trvale zašifrovány odpovídajícím veřejným klíčem, budou nedostupné. Archivace a obnovení klíče pomáhá chránit před trvalou ztrátou dat, například při přeinstalaci operačního systému, v případech, kdy uživatelský účet, pro který byl šifrovací klíč vystaven, již není k dispozici, nebo pokud klíč není z nějakého jiného důvodu přístupný. Za účelem ochrany privátních klíčů mohou podnikové certifikační autority společnosti Microsoft při vystavení certifikátů archivovat klíče uživatelů ve vlastní databázi. Tyto klíče jsou šifrovány a uloženy certifikační autoritou.

Archiv privátních klíčů umožňuje pozdější obnovení klíče. V procesu obnovení klíče musí správce načíst zašifrovaný certifikát a privátní klíč a potom agenta obnovení klíče pro jejich dešifrování. Při přijetí správně podepsaného požadavku na obnovení klíče je žadateli předán certifikát uživatele a odpovídající privátní klíč. Žadatel pak klíč použije podle potřeby nebo jej zabezpečenou cestou předá uživateli, který jej tak bude moci i nadále používat. Dokud není ohrožena bezpečnost privátního klíče, není nutné certifikát obnovit nebo nahradit s použitím jiného klíče.

Archivace a obnovení klíče není ve výchozím nastavení povoleno. Důvodem je, že v mnoha organizacích je uložení privátního klíče na více místech považováno za ohrožení zabezpečení. Nutnost explicitního rozhodování, u kterých certifikátů bude použita archivace a obnovení klíče a kdo může archivované klíče obnovit, pomáhá organizacím zajistit, aby archivace a obnovení klíče zabezpečení zvýšilo a nikoli snížilo.

K provedení tohoto postupu musíte mít oprávnění správce certifikační autority. Další informace naleznete v tématu Implementace správy založené na rolích.

Konfigurace prostředí pro archivaci klíčů certifikátů systému souborů EFS
  1. Vytvořte účet agenta obnovení klíčů nebo určete stávajícího uživatele, který bude zastávat funkci agenta obnovení klíčů.

  2. Konfigurujte šablonu certifikátu agenta obnovení klíčů a zapište agenta obnovení klíčů pro certifikát agenta obnovení klíčů. Další informace naleznete v tématu Určení agenta obnovení klíčů.

  3. Registrujte v certifikační autoritě nového agenta obnovení klíčů. Další informace naleznete v tématu Povolení archivace klíčů pro certifikační autoritu.

  4. Konfigurujte šablonu certifikátu (například Základní systém souborů EFS) pro archivaci klíčů a zapište uživatele pro nový certifikát. Pokud již uživatelé mají certifikáty systému souborů EFS, zajistěte, aby nový certifikát nahradil certifikáty bez archivace klíče. Další informace naleznete v tématu Konfigurace šablony certifikátu pro archivaci klíče.

  5. Zapište uživatele pro šifrovací certifikáty založené na nové šabloně certifikátu.

    Dokud uživatelé nezapíší certifikát s povoleným obnovením klíče, nejsou archivací klíče chráněni. Pokud používají identické certifikáty vystavené před povolením archivace klíče, archivace klíče se na data šifrovaná pomocí těchto certifikátů nevztahuje.

Další informace o archivaci a obnovení klíče naleznete v článku věnovaném archivaci a obnovení klíče v systému Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkID=92523).

Další informace


Obsah