Ha a tulajdonos elveszíti titkos kulcsát, elérhetetlenné válnak számára a megfelelő nyilvános kulccsal titkosított információk. A kulcsarchiválás és kulcshelyreállítás védelmet nyújt a titkosított adatok folyamatos elvesztésével szemben, például olyan esetekben, ha újra kell telepíteni az operációs rendszert, ha már nem áll rendelkezésre az a felhasználói fiók, amelyhez a titkosító kulcsot kiállították, vagy ha a kulcs más okokból nem áll rendelkezésre. A titkos kulcsok védelmének segítésére a Microsoft vállalati hitelesítésszolgáltatók a tanúsítványok kibocsátásakor archiválni tudják a felhasználó kulcsait annak adatbázisában. Ezeket a titkosított kulcsokat a hitelesítésszolgáltató tárolja.
Ez a titkoskulcsarchívum lehetővé teszi a kulcsok későbbi helyreállítását. A kulcs-helyreállítási folyamathoz rendszergazdára van szükség a titkosított tanúsítvány és a titkos kulcs beolvasásához, majd kulcs-helyreállítási megbízottra azok visszafejtéséhez. Helyesen aláírt kulcs-helyreállítási kérelem fogadásakor a kérelmező felhasználói tanúsítványt és titkos kulcsot kap. A kérelmező ezután vagy előírásszerűen használja a kulcsot, vagy biztonságosan továbbítja azt a felhasználónak folyamatos használatra. A tanúsítványt egészen addig nem szükséges másik kulccsal helyettesíteni vagy megújítani, amíg nem történik visszaélés a titkos kulccsal.
A kulcsarchiválás és kulcshelyreállítás az alapértelmezésben nem engedélyezett. Ennek az az oka, hogy sok vállalat biztonsági kockázatnak tartaná a titkos kulcs több helyen történő tárolását. Célszerű megkérni a vállalatokat annak egyértelmű eldöntésére, hogy mely tanúsítványokra terjed ki a kulcsarchiválás és -helyreállítás, és hogy ki állíthatja helyre az archivált kulcsokat, ez ugyanis hozzájárul ahhoz, hogy a kulcsarchiválás és -helyreállítás növeli és nem csökkenti a biztonságot.
Az eljárás végrehajtásához hitelesítésszolgáltatói rendszergazdának kell lennie. További információ: Szerepköralapú felügyelet megvalósítása.
 | A környezet konfigurálása EFS-tanúsítványok kulcsarchiválásához. |
Hozzon létre fiókot kulcs-helyreállítási megbízott számára vagy jelöljön ki egy meglévő felhasználót kulcs-helyreállítási megbízottnak.
Konfigurálja a kulcs-helyreállítási megbízott tanúsítványsablonját, és igényeljen a kulcs-helyreállítási megbízott számára kulcs-helyreállítási megbízotti tanúsítványt. További információ: Kulcs-helyreállítási megbízott azonosítása.
Regisztrálja az új kulcs-helyreállítási megbízottat a hitelesítésszolgáltatónál. További információ: Kulcsarchiválás engedélyezése hitelesítésszolgáltatóhoz.
A kulcsarchiváláshoz konfiguráljon egy tanúsítványsablont, például alapszintű, titkosított fájlrendszert, és igényeljen a felhasználók számára új tanúsítványt. Ha a felhasználók már rendelkeznek EFS-tanúsítványokkal, gondoskodjon arról, hogy az új tanúsítvány felváltsa azt a tanúsítványt, amely nem tartalmaz kulcsarchiválást.. További információ: Tanúsítványsablon konfigurálása kulcsarchiváláshoz.
Az új tanúsítványsablonra épülő titkosítási tanúsítvány igénylése felhasználók számára.
A felhasználókat csak akkor védi kulcsarchiválás, ha már igényeltek kulcshelyreállításra engedélyezett tanúsítványt. Ha ugyanolyan, de a kulcshelyreállítás engedélyezését megelőzően kiállított tanúsítványokkal rendelkeznek, akkor az ezekkel a tanúsítványokkal titkosított adatokra nem terjed ki a kulcsarchiválás.
További információ a kulcsarchiválásról és a kulcshelyreállításról: Key Archival and Recovery in Windows Server 2008 (