O processo de arquivamento de chave ocorre quando um certificado é emitido. Portanto, um modelo de certificado deve ser modificado para arquivar chaves, antes dos certificados serem emitidos com base neste modelo.

O arquivamento de chave é altamente recomendável para utilização com o modelo de certificado do sistema de arquivos com criptografia (EFS) básico, a fim de proteger os usuários contra perda de dados, mas também pode ser útil quando aplicado a outros tipos de certificados.

Ser membro do grupo Admins. do Domínio ou Administradores Corporativos, ou equivalente, é o mínimo necessário para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

Para configurar um modelo de certificado para arquivamento e recuperação de chave
  1. Abra o snap-in Modelos de Certificados.

  2. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja modificar e, em seguida, clique em Duplicar modelo.

  3. Na caixa de diálogo Modelo Duplicado, clique em Windows Server 2003 Enterprise, a não ser que todas as autoridades de certificação e os computadores cliente estejam executando o Windows Server 2008 R2, o Windows Server 2008, o Windows 7 ou o Windows Vista.

  4. Em Modelo, digite um nome para exibição do novo modelo e, em seguida, modifique outras propriedades opcionais, conforme necessário.

  5. Na guia Segurança, clique em Adicionar, digite o nome dos usuários ou grupos para os quais serão emitidos certificados e, em seguida, clique em OK.

  6. Em Nomes de grupo ou de usuário, selecione os nomes de usuário ou grupo adicionados recentemente. Em Permissões, marque as caixas de seleção Leitura e Registrar e, caso você deseje emitir o certificado automaticamente, marque também a caixa de seleção Registro automático.

    Observação

    Para implementar o registro automático, marque todas as três caixas de seleção.

  7. Na guia Tratamento de Solicitação, marque a caixa de seleção Arquivar chave privada de criptografia de requerente.

  8. Se os usuários já possuírem certificados EFS não configurados para arquivamento e recuperação de chave, clique na guia Modelos obsoletos , clique em Adicionar e, posteriormente, clique no nome do modelo a ser substituído.

  9. Clique em OK.

Os usuários não estarão protegidos pelo arquivamento de chave até que tenham sido registrados para um certificado com a recuperação de chave habilitada. Caso possuam certificados idênticos emitidos antes da habilitação da recuperação de chave, eles não serão cobertos pelo arquivamento de chave. Os clientes devem ser registrados novamente para receber um certificado baseado em um modelo modificado caso já tenham um certificado válido com base em um modelo anterior. Para obter mais informações sobre a reinscrição de clientes, consulte Reinscrever Todos os Portadores de Certificados (https://go.microsoft.com/fwlink/?LinkId=147103) (em inglês).


Sumário