Jestliže uživatel ztratí svůj privátní klíč, veškeré informace, které byly trvale zašifrovány odpovídajícím veřejným klíčem, budou nedostupné. Archivace a obnovení klíče pomáhá chránit před trvalou ztrátou dat, například při přeinstalaci operačního systému, v případech, kdy uživatelský účet, pro který byl šifrovací klíč vystaven, již není k dispozici, nebo pokud klíč není z nějakého jiného důvodu přístupný. Za účelem ochrany privátních klíčů mohou podnikové certifikační autority společnosti Microsoft při vystavení certifikátů archivovat klíče uživatelů ve vlastní databázi. Tyto klíče jsou šifrovány a uloženy certifikační autoritou.
Archiv privátních klíčů umožňuje pozdější obnovení klíče. V procesu obnovení klíče musí správce načíst zašifrovaný certifikát a privátní klíč a potom agenta obnovení klíče pro jejich dešifrování. Při přijetí správně podepsaného požadavku na obnovení klíče je žadateli předán certifikát uživatele a odpovídající privátní klíč. Žadatel pak klíč použije podle potřeby nebo jej zabezpečenou cestou předá uživateli, který jej tak bude moci i nadále používat. Dokud není ohrožena bezpečnost privátního klíče, není nutné certifikát obnovit nebo nahradit s použitím jiného klíče.
Archivace a obnovení klíče není ve výchozím nastavení povoleno. Důvodem je, že v mnoha organizacích je uložení privátního klíče na více místech považováno za ohrožení zabezpečení. Nutnost explicitního rozhodování, u kterých certifikátů bude použita archivace a obnovení klíče a kdo může archivované klíče obnovit, pomáhá organizacím zajistit, aby archivace a obnovení klíče zabezpečení zvýšilo a nikoli snížilo.
K provedení tohoto postupu musíte mít oprávnění správce certifikační autority. Další informace naleznete v tématu Implementace správy založené na rolích.
Konfigurace prostředí pro archivaci klíčů certifikátů systému souborů EFS |
Vytvořte účet agenta obnovení klíčů nebo určete stávajícího uživatele, který bude zastávat funkci agenta obnovení klíčů.
Konfigurujte šablonu certifikátu agenta obnovení klíčů a zapište agenta obnovení klíčů pro certifikát agenta obnovení klíčů. Další informace naleznete v tématu Určení agenta obnovení klíčů.
Registrujte v certifikační autoritě nového agenta obnovení klíčů. Další informace naleznete v tématu Povolení archivace klíčů pro certifikační autoritu.
Konfigurujte šablonu certifikátu (například Základní systém souborů EFS) pro archivaci klíčů a zapište uživatele pro nový certifikát. Pokud již uživatelé mají certifikáty systému souborů EFS, zajistěte, aby nový certifikát nahradil certifikáty bez archivace klíče. Další informace naleznete v tématu Konfigurace šablony certifikátu pro archivaci klíče.
Zapište uživatele pro šifrovací certifikáty založené na nové šabloně certifikátu.
Dokud uživatelé nezapíší certifikát s povoleným obnovením klíče, nejsou archivací klíče chráněni. Pokud používají identické certifikáty vystavené před povolením archivace klíče, archivace klíče se na data šifrovaná pomocí těchto certifikátů nevztahuje.
Další informace o archivaci a obnovení klíče naleznete v článku věnovaném archivaci a obnovení klíče v systému Windows Server 2008 (