Os usuários que perdem uma chave privada não poderão recuperar os dados criptografados com essa chave. Quando uma chave é recuperada e restaurada no computador cliente, os dados podem ser descriptografados e usados.

O processo completo de recuperação inclui três procedimentos:

  • Obter o número de série do certificado arquivado.

  • Realizar a recuperação da chave.

  • Restaurar a chave no computador cliente.

Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

Para obter o número de série de um certificado arquivado

  1. Faça logon no computador que hospeda da autoridade de certificação.

  2. Abra o snap-in Autoridade de Certificação.

  3. Na árvore de console, clique no nome da autoridade de certificação e em Certificados Emitidos.

  4. No menu Exibir, clique em Adicionar ou Remover Colunas.

  5. Em Coluna Disponível, clique em Chave Arquivada e em Adicionar.

    Agora, Chave Arquivada deve aparecer em Colunas Exibidas.

  6. Clique em OK e, no painel de detalhes, role para a direita e confirme se o último certificado emitido para o usuário tem um valor de Sim na coluna Chave Arquivada.

  7. Clique duas vezes no certificado

  8. Clique na guia Detalhes. Registre o número de série do certificado arquivado. (Não inclua espaços entre os pares de dígitos.) Você precisará dessas informações para concluir o procedimento de recuperação.

    O número de série será uma cadeia de caracteres hexadecimal com 20 caracteres. O número de série da chave privada é igual ao número de série do certificado. Para fins deste procedimento, o número de série será chamado de serialnumber.

  9. Clique em OK e feche o snap-in Autoridade de Certificação.

  10. No prompt de comando, digite:

    Certutil -getkey <serialnumber> outputblob
    Observação

    A seção Informações do Destinatário na saída deste comando identifica os números de série dos certificados do agente de recuperação de chave cujas chaves privadas são necessárias para descriptografar o blob e recuperar a chave.

  11. No prompt de comando, digite:

    dir outputblob
    Observação

    Se o arquivo outputblob não existir, você pode ter digitado o número de série do certificado incorretamente. O arquivo outputblob é um arquivo PKCS #7 que contém os certificados do agente de recuperação de chave, além do certificado e da cadeia do usuário. O conteúdo interno é um arquivo PKCS #7 criptografado contendo a chave privada (criptografada para os certificados do agente de recuperação de chave).

O administrador de domínio deve transferir o arquivo de saída para o agente de recuperação de chave, que realiza o procedimento real de recuperação.

É necessário ser um usuário com certificado de agente de recuperação de chave registrado com a autoridade de certificação para concluir este procedimento. O agente de recuperação de chave deve estar armazenado no seu repositório de certificado pessoal no computador em que o procedimento de recuperação de chave ocorrerá. Para obter mais informações, consulte Implementar a administração baseada em função.

Para recuperar o certificado arquivado

  1. No prompt de comando, digite:

    Certutil -recoverkey outputblob <filename>.pfx

  2. Quando solicitado, digite uma nova senha. Quando solicitado, confirme a nova senha digitando-a novamente.

  3. Copie o arquivo .pxf salvo no computador onde a recuperação será concluída.

  4. Feche todas as janelas e faça logoff do computador.

Depois da recuperação dessa chave, ela deve ser importada no computador onde os dados estão armazenados.

É necessário ser o cliente para quem o certificado foi emitido ou um administrador no computador cliente para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

Para importar a chave recuperada

  1. Abra o snap-in de certificados do usuário para quem o certificado foi emitido.

  2. Na árvore do console, clique com o botão direito do mouse em Pessoal, clique em Todas as Tarefas e clique em Importar.

  3. No Assistente para Importação de Certificados, clique em Avançar.

  4. Em Nome do arquivo, digite o nome do caminho e o nome do arquivo .pfx, depois clique em Avançar.

  5. Em Senha, digite a senha informada no procedimento anterior e clique em Avançar.

  6. Na página Repositório de Certificados, clique em Selecionar automaticamente o repositório de certificados conforme o tipo de certificado e em Avançar.

  7. Em Concluindo o Assistente para Importação de Certificados, clique em Concluir.

  8. Para verificar se o certificado recuperado foi importado com êxito, clique duas vezes em Pessoal e em Certificados na árvore de console.

  9. Clique duas vezes no certificado Clique na guia Detalhes e verifique se o número de série corresponde ao original.

Considerações adicionais

  • Para abrir o prompt de comando, clique em Iniciar; aponte para Todos os Programas, clique em Acessórios e, em seguida, clique em Prompt de Comando.

Referências adicionais

Sumário