Kullanıcılar özel anahtarlarını kaybettiğinde, ilgili genel anahtarla kalıcı olarak şifrelenen bilgilere artık erişilemez. Anahtar arşivleme ve kurtarma özelliğini kullanmak; işletim sisteminin yeniden yüklenmesinin gerekmesi, şifreleme anahtarının özgün olarak verildiği kullanıcı hesabının artık kullanılamaması veya anahtara herhangi bir şekilde erişilememesi gibi durumlarda, şifrelenmiş verilerin kalıcı olarak kaybedilmesini önlemeye yardımcı olur. Özel anahtarları korumaya yardımcı olmak için, Microsoft kuruluş sertifika yetkilileri (CA) sertifikalar yayımlandığında bir kullanıcının anahtarlarını veritabanında arşivleyebilir. Bu anahtarlar CA tarafından şifrelenir ve arşivlenir.
Bu özel anahtar arşivleme özeliği, daha sonra anahtarın kurtarılmasına olanak sağlar. Anahtar kurtarma işlemi, şifrelenmiş sertifika ve özel anahtarın bir yönetici tarafından alınmasını ve sonra da bunların bir anahtar kurtarma aracısı tarafından şifresinin çözülmesini gerektirir. Doğru şekilde imzalanmış bir anahtar kurtarma isteği alındığında, istek sahibine kullanıcının sertifikası ve özel anahtarı sağlanır. İstek sahibi böylece anahtarı uygun şekilde kullanır veya kullanımın sürekliliği için anahtarı güvenli şekilde kullanıcıya aktarır. Özel anahtar tehlikeyle karşılaşmadığı sürece, sertifikanın değiştirilmesi veya farklı bir anahtarla yenilenmesi gerekmez.
Anahtar arşivleme ve kurtarma varsayılan olarak etkin değildir. Bunun nedeni, çoğu kuruluşun özel anahtarı birçok yerde depolamayı bir güvenlik açığı olarak görmesidir. Kuruluşların, özel anahtar arşivleme ve kurtarma kapsamında hangi sertifikaların yer alacığına ve arşivlenen anahtarları kimlerin kurtarabileceği konusunda kesin karar vermeleri gereği, anahtar arşivleme ve kurtarmanın güvenliği zayıflatmak yerine daha da geliştirmeye yardımcı olur.
Bu yordamı tamamlamak için CA yöneticisi olmanız gerekir. Daha fazla bilgi için bkz. Rol Tabanlı Yönetim Uygulama.
Ortamınızı, Şifreleme Dosya Sistemi (EFS) sertifikalarının anahtar arşivlemesi için yapılandırma |
Bir anahtar kurtarma aracısı hesabı oluşturun veya varolan bir kullanıcıyı anahtar kurtarma aracısı olarak belirtin.
Anahtar kurtarma aracısı sertifika şablonunu yapılandırın ve anahtar kurtarma aracısını bir anahtar kurtarma aracısı sertifikası için kaydettirin. Bilgi için bkz. Anahtar Kurtarma Aracısı Tanımlama.
Yeni anahtar kurtarma aracısını CA'ya kaydettirin. Bilgi için bkz. CA için Anahtar Arşivlemeyi Etkinleştirme.
Temel EFS gibi bir sertifika şablonunu anahtar arşivleme için yapılandırın ve yeni sertifika için kullanıcıların kaydını yapın. Kullanıcıların zaten EFS sertifikaları varsa, yeni sertifikanın anahtar arşivleme içermeyen sertifikanın yerine geçeceğinden emin olun. Bilgi için bkz. Anahtar Arşivleme için Sertifika Şablonu Yapılandırma.
Yeni sertifika şablonuna dayalı olarak kullanıcıların şifreleme sertifikaları için kaydını yapın.
Kullanıcılar, anahtar kurtarmanın etkin olduğu bir sertifika için kaydoluncaya kadar, anahtar arşivlemeyle korunmazlar. Anahtar kurtarma etkinleştirilmeden önce verilmiş özdeş sertifikaları varsa, bu sertifikalarla şifrelenen veriler anahtar arşivleme kapsamına girmez.
Anahtar arşivleme ve kurtarma hakkında daha fazla bilgi için bkz. Windows Server 2008'de Anahtar Arşivleme ve Kurtarma (