ユーザーが秘密キーを失うと、それに対応する公開キーを使用して、固定的に暗号化されたすべての情報にアクセスできなくなります。キーのアーカイブと回復は、オペレーティング システムの再インストールが必要になった場合や、当初に暗号化キーを発行されていたユーザー アカウントを利用できなくなった場合、または他の理由でキーにアクセスできなくなった場合などに、暗号化されたデータが完全に失われることのないように保護するのに役立ちます。秘密キーを保護するために、Microsoft エンタープライズ証明機関 (CA) では、証明書の発行時にユーザーのキーをデータベースにアーカイブできます。キーは暗号化され、CA によって保存されます。
この秘密キーのアーカイブにより、後でキーを回復することが可能になります。キー回復処理を行うには、管理者が、暗号化された証明書と秘密キーを取得し、キー回復エージェントを使用して復号化する必要があります。適切に署名されたキー回復要求を受信した場合、ユーザーの証明書と秘密キーが要求者に渡されます。要求者は必要に応じてこのキーを使用したり、安全な方法でキーをユーザーに転送して使用を継続したりします。秘密キーが侵害されていない限り、証明書を別のキーで置き換えたり書き換えたりする必要はありません。
既定では、キーのアーカイブと回復は有効になっていません。その理由は、多くの企業では、秘密キーを複数の場所に保存すると、セキュリティが脆弱になると考えているためです。キーのアーカイブと回復を行う証明書の種類、およびアーカイブされたキーを回復する担当者について、企業に明示的に決定してもらうことにより、セキュリティの低下を招くことなく、キーのアーカイブと回復を行ってセキュリティを強化できます。
この手順を実行するには、CA 管理者の権限が必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
暗号化ファイル システム (EFS) 証明書のキーのアーカイブ用に環境を構成するには |
キー回復エージェント アカウントを作成するか、既存のユーザーをキー回復エージェントとして指定します。
キー回復エージェントの証明書テンプレートを構成し、キー回復エージェントの証明書にキー回復エージェントを登録します。詳細については、「キー回復エージェントを識別する」を参照してください。
新しいキー回復エージェントを CA に登録します。詳細については、「CA のキーのアーカイブを有効にする」を参照してください。
基本 EFS などの証明書テンプレートをキーのアーカイブ用に構成し、新しい証明書にユーザーを登録します。ユーザーが EFS 証明書を既に保持している場合は、新しい証明書が、キーのアーカイブが設定されていない証明書より優先されるようにしてください。詳細については、「キーのアーカイブの証明書テンプレートを構成する」を参照してください。
新しい証明書テンプレートに基づいて、暗号化証明書にユーザーを登録します。
ユーザーは、キー回復が有効になっている証明書を登録するまでは、キーのアーカイブによって保護されません。同じ証明書をユーザーが保持していても、その証明書がキー回復が有効になる前に発行されている場合は、その証明書を使用して暗号化されたデータはキーのアーカイブによる保護の対象にはなりません。
キーのアーカイブと回復の詳細については、Windows Server 2008 のキーのアーカイブと回復に関するページ (英語の可能性あり) (