Пользователи, потерявшие закрытый ключ, не смогут восстановить данные, которые были зашифрованы с помощью этого ключа. Данные можно восстановить для дальнейшего использования при восстановлении ключа на клиентском компьютере.
Полный процесс восстановления включает три процедуры:
-
Получение серийного номера архивного сертификата.
-
Выполнение восстановления ключа.
-
Восстановление ключа на клиентском компьютере.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
Чтобы получить серийный номер архивного сертификата. |
Войдите в систему на компьютере, на котором размещен центр сертификации.
Откройте оснастку "Центр сертификации".
В дереве консоли щелкните центр сертификации и выберите Выданные сертификаты.
В меню Просмотреть выберите команду Добавить/удалить столбцы.
В группе Имеющиеся столбцы щелкните Архивированный ключ и нажмите кнопку Добавить.
В разделе Отображаемые столбцы должна появиться надпись Архивированный ключ.
Нажмите кнопку ОК, затем в области сведений убедитесь, что значение в столбце Архивированный ключ для последнего сертификата, выданного пользователю, равно Да.
Дважды щелкните сертификат.
Перейдите на вкладку Сведения. Запишите серийный номер сертификата. (Не включайте пробелы между числовыми парами). Эти сведения будут необходимы для завершения процедуры восстановления.
Серийный номер представляет собой шестнадцатеричную строку из 20 знаков. Серийный номер закрытого ключа является серийным номером сертификата. В данной процедуре серийный номер именуется как serialnumber.
Нажмите кнопку ОК, затем закройте оснастку центра сертификации.
В командной строке введите:
Certutil -getkey <serialnumber> outputblob
Примечание В разделе сведений о получателе, который содержится в выходных данных этой команды, определены серийные номера сертификатов агента восстановления ключей, чьи закрытые ключи необходимы для расшифровки большого двоичного объекта и восстановления ключа.
В командной строке введите:
dir outputblob
Примечание Если файл outputblob не существует, возможно, неправильно введен серийный номер сертификата. Файл outputblob представляет собой файл PKCS #7, содержащий сертификаты агента восстановления ключей, пользовательский сертификат и цепочку. Внутреннее содержимое – это зашифрованный файл PKCS #7, содержащий закрытый ключ (зашифрованный для сертификатов агента восстановления ключей).
Администратор домена должен передать файл выхода в агент восстановления ключей, который выполнит действительную процедуру восстановления.
Чтобы выполнить эту процедуру, пользователь должен иметь сертификат агента восстановления ключей, зарегистрированный в центре сертификации. Агент восстановления ключей должен храниться в личном хранилище сертификатов агента восстановления ключей на компьютере, на котором будет выполняться процедура восстановления. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
Чтобы восстановить архивный сертификат |
В командной строке введите:
Certutil -recoverkey outputblob <filename>.pfx
При появлении соответствующего запроса введите пароль. Если необходимо, подтвердите новый пароль, введя его повторно.
Скопируйте сохраненный PFX-файл на компьютер, на котором будет происходить процедура восстановления.
Закройте все окна и выйдите из системы.
После восстановления ключ необходимо импортировать на компьютер, где хранятся данные.
Чтобы выполнить эту процедуру, пользователь должен быть клиентом, которому был выдан сертификат, или администратором клиентского компьютера. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
Чтобы импортировать восстановленный ключ |
Откройте оснастку "Сертификаты" для пользователя, которому был выдан сертификат.
В дереве консоли щелкните правой кнопкой мыши Личные, выберите Все задачи, а затем щелкните Импорт.
В мастере экспорта сертификатов нажмите кнопку Далее.
В поле Имя файла введите путь и имя PFX-файла, затем нажмите кнопку Далее.
В поле Пароль введите пароль, который был задан во время выполнения предыдущей процедуры, затем нажмите кнопку Далее.
На странице Хранилище сертификатов щелкните Автоматически выбрать хранилище на основе типа сертификата, а затем нажмите кнопку Далее.
На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.
Чтобы убедиться в том, что восстановленный сертификат был импортирован успешно, в дереве консоли дважды щелкните элемент Личные, и выберите Сертификаты.
Дважды щелкните сертификат. Щелкните вкладку Сведения , затем убедитесь, что серийный номер совпадает с исходным серийным номером.
Дополнительные сведения
-
Чтобы открыть командную строку, нажмите кнопку Пуск, выберите Все программы, щелкните Стандартные, а затем Командная строка.