Användare som förlorat en privat nyckel kan inte återställa data som har krypterats med den nyckeln. Genom att återställa en nyckel och återställa den till klientdatorn kan data dekrypteras och användas.

Den totala återställningsprocessen består av tre delar:

  • Hämta serienumret för det arkiverade certifikatet.

  • Utföra nyckelåterställningen.

  • Återställa nyckeln till klientdatorn.

Minimikravet för att kunna slutföra proceduren är att du är medlem i gruppen Domänadministratörer eller motsvarande. Mer information finns i Implementera rollbaserad administration.

Så här hämtar du serienumret för ett arkiverat certifikat:

  1. Logga in på den dator där certifikatutfärdaren finns.

  2. Öppna snapin-modulen Certifikatutfärdare.

  3. Klicka på certifikatutfärdaren i konsolträdet och sedan på Utgivna certifikat.

  4. Klicka på Lägg till/ta bort kolumnerVisa-menyn.

  5. Klicka på Arkiverad nyckel under Tillgängliga kolumner och sedan på Lägg till.

    Arkiverad nyckel bör nu visas i Kolumner som visas.

  6. Klicka på OK. Bläddra sedan till höger i informationsrutan och kontrollera att det senast utfärdade certifikatet för användaren har värdet Ja i kolumnen Arkiverad nyckel.

  7. Dubbelklicka på certifikatet.

  8. Klicka på fliken Information. Skriv upp certifikatets serienummer. (Ta inte med mellanslagen mellan sifferparen.) Du behöver den här information om du ska kunna göra en återställning.

    Serienumret är en hexadecimal sträng som innehåller 20 tecken. Serienumret för den privata nyckeln är detsamma som för certifikatet. I den här proceduren refereras serienumret till som serialnumber.

  9. Klicka på OK och stäng snapin-modulen Certifikatutfärdare.

  10. Skriv följande i Kommandotolken:

    Certutil -getkey <serialnumber> outputblob
    OBS

    Delen med mottagarinformation innehåller serienumret för certifikatet för nyckelåterställningsagenten vars privata nycklar behövs för dekryptering av blob (binary large object) och återställning av nyckeln.

  11. Skriv följande i Kommandotolken:

    dir outputblob
    OBS

    Om filen outputblob inte finns, kan du ha skrivit certifikatets serienummer på fel sätt. Filen outputblob är en PKCS #7-fil som innehåller certifikat för nyckelåterställningsagenten samt användarcertifikatet och kedjan. Innehållet i en krypterad PKCS #7-fil består av den privata nyckeln (krypterad till nyckelåterställningsagentens certifikat).

Domänadministratören måste överföra utdatafilen till nyckelåterställningsagenten, som sedan utför återställningen.

Du måste vara en användare med ett certifikat för nyckelåterställningsagenten, registrerat med certifikatutfärdaren, om du ska kunna genomföra proceduren. Nyckelåterställningsagenten måste lagras i nyckelåterställningsagentens personliga certifikatarkiv på den dator där återställningen ska göras. Mer information finns i Implementera rollbaserad administration.

Så här återställer du det arkiverade certifikatet:

  1. Skriv följande i Kommandotolken:

    Certutil -recoverkey outputblob <filename>.pfx

  2. Ange lösenord när det krävs. Bekräfta det nya lösenordet genom att skriva det en gång till.

  3. Kopiera den sparade PFX-filen till den dator där återställningen ska göras.

  4. Stäng alla fönster och logga av datorn.

När nyckeln har återställts måste den importeras till den dator där data lagras.

Du måste vara den som certifikatet utfärdats till eller administratör på klientdatorn för att kunna utföra den här proceduren. Mer information finns i Implementera rollbaserad administration.

Så här importerar du den återställda nyckeln:

  1. Öppna snapin-modulen Certifikat för den användare som certifikatet utfärdades för.

  2. Högerklicka på Personligt i konsolträdet, klicka på Alla aktiviteter och sedan på Importera.

  3. Klicka på Nästa i guiden Importera certifikat.

  4. Skriv sökvägen till och namnet på PFX-filen i Filnamn och klicka sedan på Nästa.

  5. Skriv lösenordet du angav i föregående procedur i Lösenord och klicka sedan på Nästa.

  6. Klicka på Välj certifikatarkiv automatiskt utifrån certifikattyp på sidan Certifikatarkiv och sedan på Nästa.

  7. Klicka på Slutför på sidan Slutför guiden Importera certifikat.

  8. Kontrollera att det återställda certifikatet har importerats genom att dubbelklicka på Personligt i konsolträdet och sedan klicka på Certifikat.

  9. Dubbelklicka på certifikatet. Klicka på fliken Information och kontrollera att serienumret överensstämmer med originalet.

Ytterligare hänsyn

  • Öppna Kommandotolken genom att klicka på Start, peka på Alla program, klicka på Tillbehör och sedan på Kommandotolken.

Ytterligare referenser

Innehåll