Użytkownicy, którzy utracili klucz prywatny, nie będą mogli odzyskać danych zaszyfrowanych za pomocą tego klucza. Dzięki odzyskaniu klucza i przywróceniu go na komputerze klienckim można odszyfrować dane i używać ich.
Cały proces odzyskiwania obejmuje trzy procedury:
-
Uzyskanie numeru seryjnego zarchiwizowanego certyfikatu.
-
Wykonanie odzyskiwania klucza.
-
Przywrócenie klucza na komputerze klienta.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.
Aby uzyskać numer seryjny zarchiwizowanego certyfikatu |
Zaloguj się do komputera obsługującego urząd certyfikacji.
Otwórz przystawkę Urząd certyfikacji.
W drzewie konsoli kliknij nazwę urzędu certyfikacji, a następnie kliknij polecenie Wystawione certyfikaty.
W menu Widok kliknij polecenie Dodaj/Usuń kolumny.
W obszarze Dostępne kolumny kliknij pozycję Zarchiwizowany klucz, a następnie kliknij przycisk Dodaj.
Pozycja Zarchiwizowany klucz powinna teraz pojawić się w obszarze Wyświetlane kolumny.
Kliknij przycisk OK, a następnie w okienku szczegółów przewiń widok w prawo i sprawdź, czy ostatni certyfikat wystawiony użytkownikowi ma wartość Tak w kolumnie Zarchiwizowany klucz.
Kliknij dwukrotnie certyfikat.
Kliknij kartę Szczegóły. Zapisz numer seryjny certyfikatu (bez odstępów między parami cyfr). Informacje te będą potrzebne do zakończenia procedury odzyskiwania.
Numer seryjny będzie ciągiem szesnastkowym o długości 20 znaków. Numer seryjny klucza prywatnego jest taki sam jak numer seryjny certyfikatu. Dla celów tej procedury numer seryjny będzie używany w postaci serialnumber.
Kliknij przycisk OK i zamknij przystawkę Urząd certyfikacji.
W wierszu polecenia wpisz:
Certutil -getkey <serialnumber> outputblob
Uwaga Sekcja informacji o adresacie znajdująca się w pliku wyjściowym tego polecenia zawiera numery seryjne certyfikatów agentów odzyskiwania kluczy, których klucze prywatne są potrzebne do odszyfrowania obiektu BLOB i odzyskania klucza.
W wierszu polecenia wpisz:
dir outputblob
Uwaga Jeśli plik outputblob nie istnieje, być może numer seryjny certyfikatu został wpisany niepoprawnie. Plik outputblob to plik PKCS #7 zawierający certyfikaty agentów odzyskiwania kluczy oraz certyfikat i łańcuch użytkownika. Zawartość wewnętrzna jest szyfrowanym plikiem PKCS #7 zawierającym klucz prywatny (zaszyfrowany w certyfikatach agentów odzyskiwania kluczy).
Administrator domeny musi przesłać plik wyjściowy do agenta odzyskiwania kluczy, który wykona rzeczywistą procedurę odzyskiwania.
Aby wykonać tę procedurę, użytkownik musi mieć certyfikat agenta odzyskiwania kluczy zarejestrowany w urzędzie certyfikacji. Agent odzyskiwania kluczy musi być przechowywany w magazynie certyfikatów osobistych agenta odzyskiwania kluczy na komputerze, na którym będzie wykonywana procedura odzyskiwania kluczy. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.
Aby odzyskać zarchiwizowany certyfikat |
W wierszu polecenia wpisz:
Certutil -recoverkey outputblob <filename>.pfx
Gdy zostanie wyświetlony monit, wprowadź nowe hasło. Na żądanie potwierdź nowe hasło, wpisując je po raz drugi.
Skopiuj zapisany plik pfx na komputer, na którym ma zostać wykonane odzyskiwanie.
Zamknij wszystkie okna i wyloguj się z komputera.
Po odzyskaniu klucza należy go zaimportować na komputer, na którym są przechowywane dane.
Aby wykonać tę procedurę, użytkownik musi być klientem, dla którego został wystawiony certyfikat, lub administratorem na komputerze klienckim. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.
Aby zaimportować odzyskany klucz |
Otwórz przystawkę Certyfikaty dla użytkownika, któremu został wystawiony certyfikat.
W drzewie konsoli kliknij prawym przyciskiem myszy węzeł Osobiste, kliknij polecenie Wszystkie zadania, a następnie kliknij polecenie Importuj.
W Kreatorze importu certyfikatów kliknij przycisk Dalej.
W polu Nazwa pliku wpisz ścieżkę i nazwę pliku pfx, a następnie kliknij przycisk Dalej.
W polu Hasło wpisz hasło wprowadzone w poprzedniej procedurze, a następnie kliknij przycisk Dalej.
Na stronie Magazyn certyfikatów kliknij opcję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu, a następnie kliknij przycisk Dalej.
Na stronie Kończenie pracy Kreatora importu certyfikatów kliknij przycisk Zakończ.
Aby sprawdzić, czy odzyskany certyfikat został pomyślnie zaimportowany, w drzewie konsoli kliknij dwukrotnie węzeł Osobiste, a następnie kliknij polecenie Certyfikaty.
Kliknij dwukrotnie certyfikat. Kliknij kartę Szczegóły, a następnie sprawdź, czy numer seryjny jest zgodny z oryginałem.
Uwagi dodatkowe
-
Aby otworzyć wiersz polecenia, należy kliknąć przycisk Start, wskazać polecenie Wszystkie programy, a następnie kliknąć polecenia Akcesoria i Wiersz polecenia.