如果用户丢失了其私钥,则将无法再访问使用对应公钥永久加密的任何信息。使用密钥存档和恢复功能有助于保护加密的数据不会永远丢失,例如,如果需要重新安装操作系统,则最初向其颁发加密密钥的用户帐户将不再可用,也无法再访问该密钥。为了帮助保护私钥,Microsoft 企业证书颁发机构 (CA) 可以在颁发证书时将用户的密钥存档到其数据库中。这些密钥由 CA 进行加密和存储。

此私钥存档方法使得在以后可以恢复密钥。密钥恢复过程要求管理员先检索加密的证书和私钥,然后密钥恢复代理对其进行解密。在收到正确签名的密钥恢复请求时,将向请求者提供用户的证书和私钥。然后请求者根据需要使用密钥,或者将密钥安全地传输给用户以便继续使用。只要没有泄漏私钥,就没有必要更换证书或使用其他密钥续订证书。

在默认情况下,不启用密钥存档和恢复功能。这是因为很多组织认为将私钥存储在多个位置存在安全漏洞。要求组织明确确定密钥存档和恢复覆盖哪些证书以及谁能够恢复存档的密钥,有助于确保使用密钥存档和恢复功能提高安全性,而不是降低安全性。

您必须是 CA 管理员才能完成此过程。有关详细信息,请参阅实现基于角色的管理

为加密文件系统 (EFS) 证书的密钥存档配置您的环境的步骤
  1. 创建一个密钥恢复代理帐户或指定一个现有用户作为密钥恢复代理。

  2. 配置密钥恢复代理证书模板,并为密钥恢复代理证书注册密钥恢复代理。有关详细信息,请参阅识别密钥恢复代理

  3. 向 CA 注册新密钥恢复代理。有关信息,请参阅为 CA 启用密钥存档

  4. 为密钥存档配置证书模板(如“基本 EFS”),并为用户注册新证书。如果用户已经有 EFS 证书,请确保新证书将取代不包含密钥存档的证书。有关信息,请参阅配置密钥存档的证书模板

  5. 根据新证书模板为用户注册加密证书。

    在用户注册已启用密钥恢复的证书前,他们不受密钥存档保护。如果他们拥有启用密钥恢复前颁发的相同证书,则密钥存档将不会覆盖使用这些证书加密的数据。

有关密钥存档和恢复的详细信息,请参阅“Windows Server 2008 中的密钥存档和恢复”(https://go.microsoft.com/fwlink/?LinkID=92523)(可能为英文网页)。

其他参考


目录