當使用者遺失其私密金鑰時,將無法再存取對應公開金鑰持續加密的任何資訊。使用金鑰保存和修復有助於保護加密資料免於永久遺失,例如,當需要重新安裝作業系統、原本發行加密金鑰的使用者帳戶無法再使用,或者金鑰無法再存取時。為了協助保護私密金鑰,Microsoft 企業憑證授權單位 (CA) 可以在憑證發行時,於其資料庫中保存使用者金鑰。這些金鑰都是透過 CA 加密和儲存。
這個私密金鑰保存可讓金鑰在日後修復。金鑰修復程序需要系統管理員擷取加密憑證和私密金鑰,然後使用金鑰修復代理來解密。收到正確簽署的金鑰修復要求時,會提供要求者使用者憑證和私密金鑰。然後,要求者會適當地使用金鑰,或安全地將金鑰傳送給使用者以便繼續使用。只要私密金鑰未洩露,便不需以不同的金鑰來取代或更新憑證。
根據預設,金鑰保存和修復並未啟用。這是因為許多組織認為在不同位置儲存私密金鑰是安全性的弱點。要求組織對於金鑰保存和修復所涵蓋的憑證以及可修復備份金鑰的人員進行明確的決策,有助於確保金鑰保存和修復可用於增強安全性,而不是降低安全性。
您必須是 CA 系統管理員才能完成此程序。如需相關資訊,請參閱實作以角色為基礎的管理。
 | 針對加密檔案系統 (EFS) 憑證的金鑰保存設定您的環境 |
建立金鑰修復代理帳戶,或委派現有使用者做為金鑰修復代理。
設定金鑰修復代理憑證範本,並針對金鑰修復代理憑證註冊金鑰修復代理。如需相關資訊,請參閱識別金鑰修復代理。
利用 CA 登錄新的金鑰修復代理。如需相關資訊,請參閱啟用 CA 的金鑰保存。
設定金鑰保存的憑證範本 (例如基本 EFS),並針對新憑證註冊使用者。如果使用者已經擁有 EFS 憑證,請確認新憑證將取代不包含金鑰保存的憑證。如需相關資訊,請參閱設定適用於金鑰保存的憑證範本。
根據新憑證範本來註冊加密憑證的使用者。
在使用者針對已啟用金鑰保存的憑證進行註冊之前,將不會受到金鑰保存的保護。如果他們在啟用金鑰修復之前,已擁有完全相同的已發行憑證,則金鑰保存將不會涵蓋利用這些憑證加密的資料。
如需金鑰保存和修復的相關資訊,請參閱<Windows Server 2008 中的金鑰保存和修復>(