丢失私钥的用户将无法恢复使用该密钥加密的数据。通过恢复密钥并将其还原到客户端计算机,可以解密和使用该数据。

完整的恢复过程包括三个步骤:

  • 获取存档证书的序列号。

  • 执行密钥恢复。

  • 将密钥还原到客户端的计算机。

Domain Admins 中的成员身份或等效身份是完成此步骤所需的最低要求。有关详细信息,请参阅实现基于角色的管理

获取存档证书的序列号的步骤
  1. 登录到证书颁发机构 (CA) 所在的计算机。

  2. 打开“证书颁发机构”管理单元。

  3. 在控制台树中,单击 CA 名称,然后单击“颁发的证书”

  4. “查看”菜单上,单击“添加/删除列”

  5. “可用列”下,单击“存档的密钥”,然后单击“添加”

    “存档的密钥”现在应该出现在“显示的列”中。

  6. 单击“确定”,然后在详细信息窗格中滚动到右侧,确认最后颁发给用户的证书在“存档的密钥”列中的值为“是”

  7. 双击该证书。

  8. 单击“详细信息”选项卡。记下证书的序列号。(数字对之间不包含空格。)您需要此信息来完成恢复过程。

    序列号是长度为 20 个字符的十六进制字符串。私钥的序列号与证书的序列号相同。在此过程中,将序列号称为 serialnumber

  9. 单击“确定”,然后关闭“证书颁发机构”管理单元。

  10. 在命令提示符下,键入:

    Certutil -getkey <serialnumber> outputblob
    注意

    该命令输出中的 Recipient Info 部分标识需要使用其私钥解密 BLOB 并恢复密钥的密钥恢复代理证书的序列号。

  11. 在命令提示符下,键入:

    dir outputblob 
    注意

    如果文件 outputblob 不存在,则可能是您键入的证书序列号不正确。outputblob 文件是包含密钥恢复代理证书和用户证书以及链的 PKCS #7 文件。内部内容是包含私钥(被加密为密钥恢复代理证书)的加密 PKCS #7 文件。

域管理员必须将输出文件传输到执行实际恢复过程的密钥恢复代理。

您必须是在 CA 中注册了密钥恢复代理证书的用户才能完成此过程。密钥恢复代理必须存储在将要执行密钥恢复过程的计算机的密钥恢复代理的“个人”证书存储中。有关详细信息,请参阅实现基于角色的管理

恢复存档的证书的步骤
  1. 在命令提示符下,键入:

    Certutil -recoverkey outputblob <filename>.pfx
  2. 出现提示时,输入新的密码。出现确认请求时,再次键入密码确认该新密码。

  3. 将保存的 .pfx 文件复制到要完成恢复的计算机中。

  4. 关闭所有窗口并从计算机注销。

密钥恢复后,必须将其导入存储该数据的计算机。

必须是已颁发证书的客户端或该客户端计算机上的管理员才能完成此过程。有关详细信息,请参阅实现基于角色的管理

导入恢复的密钥的步骤
  1. 打开已颁发证书的用户的“证书”管理单元。

  2. 在控制台树中,右键单击“个人”,单击“所有任务”,然后单击“导入”

  3. 在证书导入向导中,单击“下一步”

  4. “文件名”中,键入 .pfx 文件的路径和文件名,然后单击“下一步”

  5. “密码”中,键入上一步中输入的密码,然后单击“下一步”

  6. “证书存储”页面中,单击“根据证书类型,自动选择证书存储”,然后单击“下一步”

  7. “正在完成证书导入向导”页面中,单击“完成”

  8. 若要验证恢复的向导是否已经成功导入,请在控制台树中,双击“个人”然后单击“证书”

  9. 双击该证书。单击“详细信息”选项卡,然后验证序列号是否与原来的序列号匹配。

其他注意事项

  • 若要打开命令提示符,请单击「开始」,指向“所有程序”,单击“附件”,然后单击“命令提示符”

其他参考


目录