Los usuarios que pierdan una clave privada no pueden recuperar los datos cifrados con dicha clave. Si se recupera una clave y se restaura en el equipo cliente, se pueden usar y descifrar los datos.

El proceso de recuperación completo incluye tres procedimientos:

  • Obtener el número de serie del certificado archivado.

  • Realizar la recuperación de clave.

  • Restaurar la clave en el equipo cliente.

El mínimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo equivalente. Para obtener más información, vea Implementación de la administración basada en funciones.

Para obtener el número de serie de un certificado archivado
  1. Inicie sesión en el equipo que hospeda la entidad de certificación (CA).

  2. Abra el complemento Entidad de certificación.

  3. En el árbol de consola, haga clic en el nombre de la CA y, a continuación haga clic en Certificados emitidos.

  4. En el menú Ver, haga clic en Agregar o quitar columnas.

  5. En Columnas disponibles, haga clic en Clave archivada y, a continuación, haga clic en Agregar.

    Clave archivada debe aparecer ahora en Columnas mostradas.

  6. Haga clic en Aceptar y, a continuación, en el panel de detalles, desplácese a la derecha para confirmar que el última certificado emitido para el usuario tiene el valor en la columna Clave archivada.

  7. Haga doble clic en el certificado.

  8. Haga clic en la ficha Detalles. Registre el número de serie del certificado. (No incluya espacios entre los pares de dígitos). Necesitará esta información para completar el procedimiento de recuperación.

    El número de serie será una cadena hexadecimal con 20 caracteres de longitud. El número de serie de la clave privada es el mismo que el número de serie del certificado. En este procedimiento, el número de serie se llama serialnumber.

  9. Haga clic en Aceptar y cierre el complemento Entidad de certificación.

  10. En un símbolo del sistema, escriba:

    Certutil -getkey <serialnumber> outputblob
    Nota

    La sección de información del destinatario del resultado de este comando identifica los números de serie de los certificados de Key Recovery Agent cuyas claves privadas son necesarias para descifrar el blob y recuperar la clave.

  11. En un símbolo del sistema, escriba:

    dir outputblob 
    Nota

    Si el archivo outputblob no existe, es posible que haya escrito incorrectamente el número de serie para el certificado. El archivo outputblob es un archivo PKCS #7 que contiene los certificados de Key Recovery Agent y el certificado y la cadena de usuario. El contenido interno es un archivo PKCS #7 cifrado que contiene la clave privada (cifrada para los certificados de Key Recovery Agent).

El administrador del dominio puede transferir el archivo de salida al Key Recovery Agent, quien realiza el procedimiento de recuperación.

Debe ser un usuario con un certificado de Key Recovery Agent registrado con la CA para completar este procedimiento. El Key Recovery Agent se debe almacenar en el almacén de certificados personal del Key Recovery Agent del equipo en que se va a realizar el procedimiento de recuperación de claves. Para obtener más información, vea Implementación de la administración basada en funciones.

Para recuperar el certificado archivado
  1. En un símbolo del sistema, escriba:

    Certutil -recoverkey outputblob <filename>.pfx
  2. Cuando se le pida, escriba una contraseña nueva. Cuando se le pida, escriba la contraseña nueva por segunda vez para confirmarla.

  3. Copie el archivo .pfx guardado en el equipo donde se va a realizar la recuperación.

  4. Cierre todas las ventanas y cierre la sesión en el equipo.

Una vez recuperada la clave, se debe importar al equipo en que están almacenados los datos.

Debe ser el cliente para el que se emite el certificado o un administrador del equipo cliente para completar este procedimiento. Para obtener más información, vea Implementación de la administración basada en funciones.

Para importar la clave recuperada
  1. Abra el complemento Certificados para el usuario para el que se emitió el certificado.

  2. En el árbol de consola, haga clic con el botón secundario en Personal, haga clic en Todas las tareas y, a continuación, haga clic en Importar.

  3. En el Asistente para importación de certificados, haga clic en Siguiente.

  4. En Nombre de archivo, escriba la ruta de acceso y el nombre del archivo .pfx y, a continuación, haga clic en Siguiente.

  5. En Contraseña, escriba la contraseña especificada en el procedimiento anterior y haga clic en Siguiente.

  6. En la página Almacén de certificados, haga clic en Seleccionar automáticamente el almacén de certificados en base al tipo de certificado y, a continuación, haga clic en Siguiente.

  7. En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.

  8. Para comprobar si el certificado recuperado se ha importado correctamente, en el árbol de consola, haga doble clic en Personal y, a continuación, haga clic en Certificados.

  9. Haga doble clic en el certificado. Haga clic en la ficha Detalles y compruebe si el número de serie coincide con el original.

Consideraciones adicionales

  • Para abrir un símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Símbolo del sistema.

Referencias adicionales


Tabla de contenido