Proces archiwizacji kluczy ma miejsce podczas wystawiania certyfikatu. Dlatego przed wystawieniem jakichkolwiek certyfikatów opartych na szablonie certyfikatu należy zmodyfikować ten szablon tak, aby powodował archiwizację kluczy.
Archiwizacja kluczy jest zdecydowanie zalecana w przypadku szablonu certyfikatu Podstawowy system szyfrowania plików (EFS) w celu zapewnienia ochrony użytkowników przed utratą danych, jednak może się także przydać w przypadku certyfikatów innych typów.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub Administratorzy przedsiębiorstwa albo w grupie równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.
Aby skonfigurować szablon certyfikatu na potrzeby archiwizacji i odzyskiwania kluczy |
Otwórz przystawkę Szablony certyfikatów.
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który chcesz zmienić, a następnie kliknij polecenie Duplikuj szablon.
W oknie dialogowym Duplikowanie szablonu kliknij opcję Windows Server 2003 Enterprise, chyba że wszystkie urzędy certyfikacji i komputery klienckie korzystają z systemu Windows Server 2008 R2, Windows Server 2008, Windows 7 lub Windows Vista.
W polu Szablon wpisz wyświetlaną nazwę nowego szablonu, a następnie zmodyfikuj odpowiednio do potrzeb dowolne pozostałe właściwości opcjonalne.
Na karcie Zabezpieczenia kliknij przycisk Dodaj, wpisz nazwy użytkowników lub grup, dla których mają zostać wystawione certyfikaty, a następnie kliknij przycisk OK.
W obszarze Nazwy grup lub użytkowników wybierz dodane przez siebie nazwy użytkowników lub grup. W obszarze Uprawnienia zaznacz pola wyboru Odczyt i Rejestrowanie się, a jeśli chcesz automatycznie wystawiać certyfikat, zaznacz także pole wyboru Autorejestrowanie.
Uwaga Aby zaimplementować autorejestrowanie, należy zaznaczyć wszystkie trzy pola wyboru.
Na karcie Obsługiwanie żądań zaznacz pole wyboru Archiwizuj klucz prywatny szyfrowania podmiotu.
Jeśli użytkownicy mają już certyfikaty EFS, które nie zostały skonfigurowane na potrzeby archiwizacji i odzyskiwania kluczy, kliknij kartę Szablony zastąpione, kliknij przycisk Dodaj, a następnie kliknij nazwę szablonu, który chcesz zamienić.
Kliknij przycisk OK.
Użytkownicy nie będą chronieni przez funkcję archiwizacji kluczy, dopóki nie zarejestrują certyfikatu z włączonym odzyskiwaniem kluczy. Nawet mając identyczne certyfikaty, wystawione przed włączeniem odzyskiwania kluczy, nie będą objęci archiwizacją kluczy. Klienci muszą zarejestrować się ponownie, aby otrzymać certyfikat oparty na zmienionym szablonie, jeśli już mają ważny certyfikat oparty na starym szablonie. Aby uzyskać więcej informacji na temat ponownego rejestrowania klientów, zobacz artykuł Ponowne rejestrowanie wszystkich posiadaczy certyfikatów (