Wanneer gebruikers hun persoonlijke sleutel kwijtraken, zijn gegevens die met de bijbehorende openbare sleutel zijn versleuteld, niet langer toegankelijk. Met sleutelarchivering en -herstel kan worden voorkomen dat versleutelde gegevens blijvend verloren gaan wanneer bijvoorbeeld een besturingssysteem opnieuw moet worden geïnstalleerd, het gebruikersaccount waaraan de versleutelingssleutel oorspronkelijk werd verleend, niet meer beschikbaar is of de sleutel om een andere reden niet meer toegankelijk is. Ondernemingscertificeringsinstanties (CA's) van Microsoft kunnen de sleutels van een gebruiker in hun database archiveren wanneer certificaten worden verleend. Deze sleutels worden versleuteld en opgeslagen door de CA.

Met behulp van dit archief met persoonlijke sleutels kan een sleutel op een later tijdstip worden hersteld als dat nodig is. Een beheerder moet dan het versleutelde certificaat en de persoonlijke sleutel ophalen en deze moeten vervolgens worden ontsleuteld door een sleutelherstelagent. Wanneer een correct ondertekende aanvraag voor sleutelherstel wordt ontvangen, worden het certificaat en de persoonlijke sleutel van de gebruiker aan de aanvrager verstrekt. De aanvrager gebruikt de sleutel dan zoals nodig is of stuurt deze op beveiligde wijze door naar de gebruiker zodat de sleutel opnieuw kan worden gebruikt. Als de persoonlijke sleutel nog steeds veilig is, hoeft het certificaat niet te worden vervangen of te worden vernieuwd met een andere sleutel.

Sleutelarchivering en -herstel zijn standaard niet ingeschakeld. De opslag van persoonlijke sleutels op meerdere locaties wordt door veel organisaties namelijk als een zwakke plek in de beveiliging beschouwd. De beveiliging kan echter worden verbeterd met sleutelarchivering en -herstel wanneer organisaties expliciet moeten opgeven voor welke certificaten dit wordt gebruikt en wie de gearchiveerde sleutels kan herstellen.

U moet CA-beheerder zijn om deze procedure uit te voeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Uw omgeving configureren voor sleutelarchivering van EFS-certificaten (Encrypting File System)
  1. Maak een account voor een sleutelherstelagent of wijs een bestaande gebruiker aan die als sleutelherstelagent moet fungeren.

  2. Configureer de certificaatsjabloon voor de sleutelherstelagent en schrijf de sleutelherstelagent in voor een certificaat voor een sleutelherstelagent. Zie Een sleutelherstelagent identificeren voor meer informatie.

  3. Registreer de nieuwe sleutelherstelagent bij de CA. Zie Sleutelarchivering inschakelen voor een CA voor meer informatie.

  4. Configureer een certificaatsjabloon, zoals Standaard-EFS, voor sleutelarchivering en schrijf gebruikers in voor het nieuwe certificaat. Als gebruikers al EFS-certificaten hebben, moet u ervoor zorgen dat het certificaat zonder sleutelarchivering wordt vervangen door het nieuwe certificaat. Zie Een certificaatsjabloon configureren voor sleutelarchivering voor meer informatie.

  5. Schrijf gebruikers in voor versleutelingscertificaten op basis van de nieuwe certificaatsjabloon.

    Gebruikers worden pas beschermd door sleutelarchivering nadat ze zich hebben ingeschreven voor een certificaat waarvoor sleutelherstel is ingeschakeld. Als ze identieke certificaten hebben die zijn verleend voordat sleutelherstel werd ingeschakeld, werkt de sleutelarchivering niet voor gegevens die met deze certificaten zijn versleuteld.

Ga naar https://go.microsoft.com/fwlink/?LinkID=92523 voor meer informatie over sleutelarchivering en -herstel in Windows Server 2008.

Aanvullende naslaginformatie


Inhoudsopgave