Om användare förlorar sina privata nycklar går det inte att nå beständigt krypterad information i motsvarande offentliga nyckel. Nyckelarkivering och återställning skyddar förlust av krypterade data, t.ex. när ett operativsystem behöver installeras om, när användarkontot som den krypterade nyckeln från början var utfärdat för inte finns kvar och när nyckeln av andra anledningar inte längre kan nås. Microsofts företagscertifikatutfärdare kan arkivera användarnycklarna i databasen när certifikat utfärdas och på det sättet skydda privata nycklar. Nycklarna krypteras och lagras av certifikatutfärdaren.

Med det privata nyckelarkivet kan nycklarna återställas vid ett senare tillfälle. Nyckelåterställningen kräver att en administratör hämtar det krypterade certifikatet och den privata nyckeln samt en nyckelåterställningsagent för dekryptering. När en korrekt signerad nyckelåterställningsbegäran tas emot skickas användarens certifikat och privata nyckel till den som begär nyckelåterställningen. Den personen använder sedan nyckeln på lämpligt sätt eller överför den till användaren på ett säkert sätt. Så länge den privata nyckeln hanteras på ett säkert sätt behöver inte certifikatet bytas ut eller förnyas med en annan nyckel.

Nyckelarkivering och återställning är inte aktiverat som standard. Det beror på att många organisationer ser lagring av privata nycklar på flera ställen som en säkerhetsrisk. Om säkerheten ska kunna bibehållas krävs då beslut om vilka certifikat som ska skyddas av nyckelarkivering och återställning och vilka personer som ska kunna återställa arkiverade nycklar.

Du måste vara certifikatutfärdaradministratör för att göra detta. Mer information finns i Implementera rollbaserad administration.

Så här konfigurerar du miljön för nyckelarkivering av EFS-certifikat (Encrypting File System):
  1. Skapa ett konto för en nyckelåterställningsagent eller utse en befintlig användare till nyckelåterställningsagent.

  2. Konfigurera certifikatmallen för nyckelåterställningsagenten och registrera nyckelåterställningsagenten för ett nyckelåterställningscertifikat. Mer information finns i Identifiera en nyckelåterställningsagent.

  3. Registrera den nya nyckelåterställningsagenten hos certifikatutfärdaren. Mer information finns i Aktivera nyckelarkivering för en certifikatutfärdare.

  4. Konfigurera en certifikatmall, t.ex. enkelt krypterande filsystem, för nyckelarkivering och registrera användare för det nya certifikatet. Om användarna redan har EFS-certifikat kontrollerar du att det nya certifikatet ersätter certifikatet som inte har nyckelarkivering. Mer information finns i Konfigurera en certifikatmall för nyckelarkivering.

  5. Registrera användare för krypteringscertifikat baserat på den nya certifikatmallen.

    Användare skyddas inte av nyckelarkivering förrän de har registrerats för ett certifikat som har nyckelåterställning aktiverat. Om de har identiska certifikat som utfärdades innan nyckelåterställningen aktiverades, skyddas inte data som krypterades med dessa certifikat av nyckelarkiveringen.

Mer information finns på sidan om nyckelarkivering och återställning i Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkID=92523). Sidan kan vara på engelska.

Ytterligare referenser


Innehåll