Gdy użytkownik utraci swój klucz prywatny, wszelkie informacje, które były na stałe zaszyfrowane za pomocą odpowiadającego mu klucza publicznego, przestaną być dostępne. Korzystanie z funkcji archiwizacji i odzyskiwania kluczy pomaga chronić zaszyfrowane dane przez ich trwałą utratą, na przykład w razie konieczności ponownego zainstalowania systemu operacyjnego, niedostępności konta użytkownika, dla którego początkowo wystawiono klucz szyfrowania, lub niedostępności klucza z innego powodu. Aby ułatwić ochronę kluczy prywatnych, urzędy certyfikacji przedsiębiorstwa opracowane przez firmę Microsoft mogą archiwizować klucze użytkownika w bazie danych podczas wystawiania certyfikatów. Klucze te są szyfrowane i magazynowane przez urząd certyfikacji.

To archiwum kluczy prywatnych umożliwia późniejsze odzyskiwanie kluczy. Proces odzyskiwania kluczy wymaga, aby zaszyfrowany certyfikat i klucz prywatny zostały pobrane przez administratora, a następnie odszyfrowane przez agenta odzyskiwania kluczy. Po odebraniu poprawnie podpisanego żądania odzyskania klucza certyfikat i klucz prywatny użytkownika zostaną dostarczone stronie żądającej. Strona żądająca może następnie odpowiednio użyć tego klucza lub bezpiecznie przetransferować go do użytkownika w celu dalszego użycia. Dopóki klucz prywatny nie zostanie złamany, nie trzeba zamieniać certyfikatu ani go odnawiać przy użyciu innego klucza.

Archiwizacja i odzyskiwanie kluczy domyślnie nie są włączone. Jest tak dlatego, że wiele organizacji traktuje przechowywanie klucza prywatnego w wielu lokalizacjach jako lukę w zabezpieczeniach. Wymaganie od organizacji, aby podejmowały jawne decyzje, które certyfikaty mają być objęte archiwizacją i odzyskiwaniem kluczy oraz kto może odzyskiwać zarchiwizowane klucze, sprawia, że funkcja archiwizacji i odzyskiwania kluczy pomaga w zwiększeniu zabezpieczeń, a nie w ich pogorszeniu.

Aby wykonać tę procedurę, użytkownik musi być administratorem urzędu certyfikacji. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby skonfigurować środowisko na potrzeby archiwizacji certyfikatów systemu szyfrowania plików (EFS)
  1. Utwórz konto agenta odzyskiwania kluczy lub wyznacz istniejącego użytkownika, który będzie pełnił rolę agenta odzyskiwania kluczy.

  2. Skonfiguruj szablon certyfikatu agenta odzyskiwania kluczy i zarejestruj certyfikat agenta odzyskiwania kluczy. Aby uzyskać informacje, zobacz temat Identyfikowanie agenta odzyskiwania kluczy.

  3. Zarejestruj nowego agenta odzyskiwania kluczy w urzędzie certyfikacji. Aby uzyskać informacje, zobacz temat Włączanie archiwizacji kluczy dla urzędu certyfikacji.

  4. Skonfiguruj szablon certyfikatu, na przykład Podstawowe EFS, na potrzeby archiwizacji kluczy i zarejestruj nowy certyfikat dla użytkowników. Jeśli użytkownicy mają już certyfikaty EFS, upewnij się, że nowy certyfikat zastąpi certyfikat niezawierający funkcji archiwizacji kluczy. Aby uzyskać informacje, zobacz temat Konfigurowanie szablonu certyfikatu na potrzeby archiwizacji kluczy.

  5. Zarejestruj certyfikaty szyfrowania dla użytkowników na podstawie nowego szablonu certyfikatu.

    Użytkownicy nie będą chronieni przez funkcję archiwizacji kluczy, dopóki nie zarejestrują certyfikatu z włączonym odzyskiwaniem kluczy. Nawet jeśli użytkownicy mają identyczne certyfikaty, które zostały wystawione przed włączeniem odzyskiwania kluczy, szyfrowanie danych za pomocą tych certyfikatów nie będzie objęte archiwizacją kluczy.

Aby uzyskać więcej informacji na temat archiwizacji i odzyskiwania kluczy, zobacz Archiwizacja i odzyskiwanie kluczy w systemie Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkID=92523) (strona może zostać wyświetlona w języku angielskim).

Dodatkowe informacje


Spis treści