キー回復エージェントは、キー回復証明書を使用できるようにするために、キー回復証明書を事前に登録しておく必要があります。また、キー回復エージェントは、認証機関 (CA) の回復エージェントとして登録されている必要があります。
この手順を実行するには、CA 管理者の権限が必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
 | CA のキーのアーカイブを有効にするには |
証明機関スナップインを開きます。
コンソール ツリーで、CA の名前をクリックします。
[操作] メニューの [プロパティ] をクリックします。
[回復エージェント] タブをクリックし、[キーをアーカイブする] をクリックします。
[使用する回復エージェントの数] に、アーカイブされたキーの暗号化に使用する、キー回復エージェントの数を入力します。
[使用する回復エージェントの数] に指定する数は、1 から構成済みのキー回復エージェントの証明書数までの範囲内にする必要があります。
[追加] をクリックします。次に、[キー回復エージェントの選択] で、表示されるキー回復証明書をクリックし、[OK] をクリックします。
証明書が [キー回復エージェントの証明書] の一覧に表示されますが、一覧表示される証明書の状態は [読み込まれていません] です。
[OK] または [適用] をクリックします。CA の再起動を求めるメッセージが表示されたら、[はい] をクリックします。CA の再起動後、一覧表示される証明書の状態は [有効] になります。
[キー回復エージェントの証明書] の一覧には、次の表の状態値および原因が含まれる場合があります。
| 状態 | 原因 |
|---|---|
|
期限切れ |
証明書の有効期限が経過しているため、この証明書は使用できません。 |
|
無効 |
証明書が破損している可能性、または読み込み時にエラーを発生させる可能性があります。 |
|
検出されませんでした |
証明書は構成されていますが、CA がこの証明書を検出できません。 |
|
読み込まれていません |
証明書は構成されていますが、CA がこの証明書をまだ読み込んでいません。 |
|
失効済み |
証明書は失効していて使用できません。 |
|
信頼されていません |
CA がこの証明書のルート CA を信頼していません。 |
|
有効 |
CA が証明書を読み込み、その証明書が正常に機能しています。 |
[使用する回復エージェントの数] の値が、状態が [有効] の回復エージェント証明書の数を超えている場合、キーのアーカイブを要求する登録要求は失敗します。