密钥存档过程在颁发证书时发生。因此,在基于此模板颁发任何证书之前,必须修改证书模板以存档密钥。

强烈建议将密钥存档与基本加密文件系统 (EFS) 证书模板一起使用,以防止用户丢失数据,但将其应用于其他类型的证书时它也很有用。

Domain AdminsEnterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理

配置用于密钥存档和恢复的证书模板的步骤
  1. 打开“证书模板”管理单元。

  2. 在细节窗格中,右键单击要更改的证书模板,然后单击“复制模板”

  3. “复制模板”对话框中,单击 Windows Server 2003 Enterprise,除非所有证书颁发机构 (CA) 和客户端计算机都在运行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista。

  4. “模板”中,键入新模板显示名称,然后根据需要修改任何其他可选属性。

  5. “安全”选项卡上,单击“添加”,键入要将证书颁发到的用户或组的名称,然后单击“确定”

  6. “组或用户名”下,选择刚添加的用户或组名。在“权限”下,选中“读取”“注册”复选框,且如果想要自动颁发证书,还要选中“自动注册”复选框。

    注意

    若要实现自动注册,必须选中所有三个复选框。

  7. “请求处理”选项卡上,选中“把使用者的加密私钥存档”复选框。

  8. 如果用户已经拥有未针对密钥存档和恢复配置的 EFS 证书,则单击“取代模板”选项卡,单击“添加”,然后单击要替换的模板的名称。

  9. 单击“确定”

在用户注册已启用密钥恢复的证书前,他们不受密钥存档保护。如果他们拥有启用密钥恢复前颁发的相同证书,则他们未由密钥存档覆盖。客户必须经过重新注册,才能接收到基于已更改模板的证书(如果他们已具有基于旧模板的有效证书)。有关重新注册客户端的详细信息,请参阅 Re-Enroll All Certificate Holders (https://go.microsoft.com/fwlink/?LinkId=147103)(可能为英文网页)。


目录