Se un utente perde una chiave privata, non sarà in grado di recuperare dati crittografati con tale chiave. Sarà necessario recuperare la chiave e ripristinarla nel computer client per poter decrittografare e utilizzare i dati.

Il processo di recupero completo comprende tre procedure:

  • Ottenere il numero di serie del certificato archiviato.

  • Eseguire il recupero della chiave.

  • Ripristinare la chiave nel computer client.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per ottenere il numero di serie di un certificato archiviato

  1. Accedere al computer che ospita l'Autorità di certificazione (CA).

  2. Aprire lo snap-in Autorità di certificazione.

  3. Nell'albero della console fare clic sul nome della CA e quindi su Certificati emessi.

  4. Scegliere Aggiungi/Rimuovi colonne dal menu Visualizza.

  5. In Colonne disponibili fare clic su Chiave archiviata e quindi su Aggiungi.

    Chiave archiviata dovrebbe ora essere visualizzato inColonne visualizzate.

  6. Fare clic su OK e quindi, nel riquadro dei dettagli, scorrere verso destra e verificare che per l'ultimo certificato rilasciato all'utente sia presente il valore nella colonna Chiave archiviata.

  7. Fare doppio clic sul certificato.

  8. Fare clic sulla scheda Dettagli. Prendere nota del numero di serie del certificato, senza includere gli spazi tra le coppie di cifre. Queste informazioni saranno necessarie per completare la procedura di recupero.

    Il numero di serie sarà una stringa esadecimale lunga 20 caratteri. Il numero di serie della chiave privata corrisponde al numero di serie del certificato. Nella descrizione della procedura, si farà riferimento al numero di serie con il termine serialnumber.

  9. Fare clic su OK e chiudere lo snap-in Autorità di certificazione.

  10. Al prompt dei comandi digitare:

    Certutil -getkey <serialnumber> outputblob
    Nota

    La sezione Informazioni destinatario dell'output di questo comando contiene i numeri di serie dei certificati degli agenti di recupero chiavi le cui chiavi private sono necessarie per decrittografare il BLOB e recuperare la chiave.

  11. Al prompt dei comandi digitare:

    dir outputblob
    Nota

    Se il file outputblob non esiste, è possibile che il numero di serie del certificato sia stato digitato in modo errato. Il file outputblob è un file PKCS #7 contenente i certificati degli agenti di recupero chiavi e il certificato e la catena dell'utente. Il contenuto interno è un file PKCS #7 crittografato contenente la chiave privata, crittografata con i certificati degli agenti di recupero chiavi.

L'amministratore di dominio deve trasferire il file di output all'agente di recupero chiavi, che esegue l'effettiva procedura di recupero.

Per eseguire questa procedura, è necessario essere un utente con un certificato di agente di recupero chiavi registrato con la CA. Il certificato dell'agente di recupero chiavi deve essere archiviato nell'archivio certificati personali dell'agente sul computer dove si eseguirà la procedura di recupero chiavi. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per recuperare il certificato archiviato

  1. Al prompt dei comandi digitare:

    Certutil -recoverkey outputblob <filename>.pfx

  2. Quando richiesto, immettere una nuova password, quindi confermarla digitandola una seconda volta.

  3. Copiare il file PFX salvato nel computer dove si eseguirà il recupero.

  4. Chiudere tutte le finestre e disconnettersi dal computer.

Dopo aver recuperato la chiave, è necessario importarla nel computer in cui sono archiviati i dati.

Per eseguire questa procedura è necessario essere il client al quale era stato rilasciato il certificato o un amministratore del computer client. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per importare la chiave recuperata

  1. Aprire lo snap-in certificati dell'utente al quale era stato rilasciato il certificato.

  2. Nell'albero della console fare clic con il pulsante destro del mouse su Personale, scegliere Tutte le attività e quindi fare clic su Importa.

  3. Nell'Importazione guidata certificati fare clic su Avanti.

  4. In Nome file digitare il percorso e il nome del file PFX e quindi fare clic su Avanti.

  5. In Password digitare la password inserita nella procedura precedente e quindi fare clic su Avanti.

  6. Nella pagina Archivio certificati fare clic su Selezionare automaticamente l'archivio certificati secondo il tipo di certificato e quindi fare clic su Avanti.

  7. Nella pagina Completamento dell'Importazione guidata certificati fare clic su Fine.

  8. Per verificare l'avvenuta importazione del certificato recuperato, nell'albero della console fare doppio clic su Personale e quindi fare clic su Certificati.

  9. Fare doppio clic sul certificato. Fare clic sulla scheda Dettagli e quindi verificare che il numero di serie corrisponda all'originale.

Ulteriori considerazioni

  • Per aprire un prompt dei comandi fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori e quindi Prompt dei comandi.

Ulteriori riferimenti

Argomenti della Guida