Gebruikers die een persoonlijke sleutel kwijtraken, kunnen gegevens die met die sleutel zijn versleuteld, niet meer herstellen. De gegevens kunnen echter worden ontsleuteld en opnieuw worden gebruikt wanneer de sleutel wordt hersteld en wordt teruggezet op de clientcomputer.

Het volledige herstelproces omvat drie procedures:

  • Het serienummer van het gearchiveerde certificaat ophalen

  • De sleutel herstellen

  • De sleutel terugzetten op de computer van de client

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Het serienummer van een gearchiveerd certificaat ophalen

  1. Meld u aan op de computer van de certificeringsinstantie (CA).

  2. Open de module Certificeringsinstantie.

  3. Klik in de consolestructuur op de naam van de CA en klik vervolgens op Verleende certificaten.

  4. Klik op Kolommen toevoegen/verwijderen in het menu Beeld.

  5. Klik onder Beschikbare kolom op Gearchiveerde sleutel en klik vervolgens op Toevoegen.

    Gearchiveerde sleutel moet nu worden weergegeven in Weergegeven kolommen.

  6. Klik op OK en schuif in het detailvenster naar rechts om te controleren of voor het laatste certificaat dat aan de gebruiker is verleend, de waarde ja wordt weergegeven in de kolom Gearchiveerde sleutel.

  7. Dubbelklik op het certificaat.

  8. Klik op het tabblad Details. Noteer het serienummer van het certificaat (zonder spaties tussen cijferparen). Dit hebt u nodig om de herstelprocedure uit te voeren.

    Het serienummer is een hexadecimale tekenreeks van 20 tekens. Het serienummer van de persoonlijke sleutel is hetzelfde als het serienummer van het certificaat. In deze procedure wordt naar het serienummer verwezen als serialnumber.

  9. Klik op OK en sluit de module Certificeringsinstantie.

  10. Typ het volgende na de opdrachtprompt:

    Certutil -getkey <serialnumber> outputblob
    Opmerking

    In de sectie 'Recipient Info' van de uitvoer van deze opdracht staan de serienummers van de certificaten voor sleutelherstelagenten waarvan de persoonlijke sleutels nodig zijn om de blob te ontsleutelen en de sleutel te herstellen.

  11. Typ hiertoe het volgende op de opdrachtregel:

    dir outputblob
    Opmerking

    Als het bestand outputblob niet bestaat, hebt u het serienummer voor het certificaat mogelijk niet juist opgegeven. Het bestand outputblob is een PKCS #7-bestand dat de certificaten voor sleutelherstelagenten, het gebruikerscertificaat en de gebruikerscertificaatketen bevat. De inhoud van dit bestand is een versleuteld PKCS #7-bestand dat de persoonlijke sleutel bevat (versleuteld tot de certificaten voor sleutelherstelagenten).

De domeinadministrator moet het uitvoerbestand overdragen aan de sleutelherstelagent, die de feitelijke sleutelherstelprocedure uitvoert.

U moet een gebruiker zijn met een certificaat voor een sleutelherstelagent dat is geregistreerd bij de CA om deze procedure uit te voeren. Het certificaat voor de sleutelherstelagent moet zijn opgeslagen in het persoonlijke certificaatarchief van de sleutelherstelagent op de computer waarop de sleutelherstelprocedure wordt uitgevoerd. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

Het gearchiveerde certificaat herstellen

  1. Typ hiertoe het volgende op de opdrachtregel:

    Certutil -recoverkey outputblob <filename>.pfx

  2. Voer een nieuw wachtwoord in als dat wordt gevraagd. Typ het nieuwe wachtwoord opnieuw om het te bevestigen als dat wordt gevraagd.

  3. Kopieer het opgeslagen PFX-bestand naar de computer waarop het herstel moet worden uitgevoerd.

  4. Sluit alle vensters en meld u af bij de computer.

Nadat de sleutel is hersteld, moet deze worden geïmporteerd op de computer waarop de gegevens zijn opgeslagen.

U moet de client zijn waaraan het certificaat is verleend of u moet beheerder zijn op de clientcomputer om deze procedure uit te voeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie.

De herstelde sleutel importeren

  1. Open de module Certificaten voor de gebruiker aan wie het certificaat was verleend.

  2. Klik in de consolestructuur met de rechtermuisknop op Persoonlijk, klik op Alle taken en klik op Importeren.

  3. Klik op Volgende in de wizard Certificaat importeren.

  4. Typ het pad en de bestandsnaam van het PFX-bestand in het vak Bestandsnaam en klik op Volgende.

  5. Typ het wachtwoord dat u in de vorige procedure hebt opgegeven in het vak Wachtwoord en klik op Volgende.

  6. Klik op de pagina Certificaatarchief op Automatisch het certificaatarchief selecteren op basis van het type certificaat en klik op Volgende.

  7. Klik op de pagina De wizard Certificaat importeren op Voltooien.

  8. Controleer of het herstelde certificaat goed is geïmporteerd door in de consolestructuur op Persoonlijk te dubbelklikken en vervolgens op Certificaten te klikken.

  9. Dubbelklik op het certificaat. Klik op het tabblad Details en controleer of het serienummer overeenkomt met het origineel.

Aanvullende overwegingen

  • U opent een opdrachtprompt als volgt: klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires en klik op Opdrachtprompt.

Aanvullende naslaginformatie

Inhoudsopgave