Os utilizadores que perderem uma chave privada não conseguirão recuperar os dados encriptados com essa chave. Ao recuperar uma chave e restaurando-a no computador cliente, os dados poderão ser desencriptados e utilizados.

O processo de recuperação completo inclui três procedimentos:

  • Obtenha o número de série do certificado arquivado.

  • Execute a recuperação da chave.

  • Restaure a chave no computador cliente.

Ser membro do grupo Administradores de Domínio, ou equivalente, é o requisito mínimo para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para obter o número de série de um certificado arquivado

  1. Inicie sessão no computador que aloja a autoridade de certificação (AC).

  2. Abra o snap-in Autoridade de Certificação.

  3. Na árvore da consola, clique no nome da AC e, em seguida, clique em Certificados Emitidos.

  4. No menu Ver, clique em Adicionar/Remover Colunas.

  5. Em Coluna Disponível, clique em Chave Arquivada e clique em Adicionar.

    A Chave Arquivada deve agora aparecer em Colunas Apresentadas.

  6. Clique em OK e, no painel de detalhes, desloque-se para a direita e confirme se o último certificado emitido para o utilizador tem um valor Sim na coluna Chave Arquivada.

  7. Faça duplo clique no certificado.

  8. Clique no separador Detalhes. Registe o número de série do certificado. (Não inclua o espaçamento entre pares de dígitos.) Vai necessitar destas informações para concluir o procedimento de restauro.

    O número de série será uma cadeia hexadecimal com 20 caracteres de comprimento. O número de série da chave privada é igual ao número de série do certificado. Para os objectivos deste procedimento, o número de série será referido como serialnumber.

  9. Clique em OK e feche o snap-in Autoridade de Certificação.

  10. Numa linha de comandos, escreva:

    Certutil -getkey <serialnumber> outputblob
    Nota

    A secção Informações do Destinatário no resultado deste comando identifica os números de série dos certificados de agentes de recuperação de chaves, cujas chaves privadas são necessárias para desencriptar o blob e recuperar a chave.

  11. Numa linha de comandos, escreva:

    dir outputblob
    Nota

    Se o ficheiro outputblob não existir, poderá ter escrito o número de série incorrectamente para o certificado. O ficheiro outputblob é um ficheiro PKCS #7 que contém os certificados de agente de recuperação de chaves e o certificado de utilizador e a cadeia. O conteúdo interior é um ficheiro PKCS #7 encriptado contendo a chave privada (encriptada para os certificados de agentes de recuperação de chaves).

O administrador do domínio terá de transferir o ficheiro de saída para o agente de recuperação de chaves, que executa o procedimento de recuperação real.

Terá de ser um utilizador com um certificado de agente de recuperação de chaves registado com a AC para concluir este procedimento. O agente de recuperação de chave tem de ser armazenado no arquivo de certificados Pessoal do agente de recuperação de chaves no computador onde o procedimento de recuperação da chave vai ter lugar. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para recuperar o certificado arquivado

  1. Numa linha de comandos, escreva:

    Certutil -recoverkey outputblob <filename>.pfx

  2. Quando lhe for pedido, introduza uma nova palavra-passe. Quando solicitado, confirme a nova palavra-passe ao escrevê-la uma segunda vez.

  3. Copie o ficheiro guardado .pfx no computador onde a recuperação vai ser concluída.

  4. Feche todas as janelas e termine sessão do computador.

Depois de a chave ter sido recuperada, terá de ser importada no computador onde os dados estão armazenados.

Terá de ser o cliente para quem o certificado foi emitido ou um administrador no computador cliente para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para importar a chave recuperada

  1. Abra o snap-in Certificados para o utilizador para quem o certificado foi emitido.

  2. Na árvore da consola, clique com o botão direito do rato em Pessoal, clique em Todas as Tarefas e clique em Importar.

  3. No Assistente para Importar Certificados, clique em Seguinte.

  4. Em Nome de ficheiro, escreva o caminho e o nome do ficheiro .pfx e clique em Seguinte.

  5. Em Palavra-passe, escreva a palavra-passe introduzida no procedimento anterior e clique em Seguinte.

  6. Na página Arquivo de Certificados, clique em Seleccionar automaticamente o arquivo de certificados com base no tipo de certificado e, em seguida, clique em Seguinte.

  7. Na página A Concluir o Assistente para Importar Certificados, clique em Concluir.

  8. Para verificar se o certificado recuperado foi importado com êxito, na árvore da consola, faça duplo clique em Pessoal, e clique em Certificados.

  9. Faça duplo clique no certificado. Clique no separador Detalhes e, em seguida, verifique se o número de série corresponde ao original.

Considerações adicionais

  • Para abrir uma linha de comandos, clique em Iniciar, clique em Todos os Programas, clique em Acessórios e, em seguida, clique em Linha de Comandos.

Referências adicionais

Sumário