遺失私密金鑰的使用者將無法修復使用該金鑰加密的資料。藉由修復金鑰並將其還原至用戶端電腦,可解密並使用資料。
完整的修復程序包含三個程序:
-
取得備份憑證的序號。
-
執行金鑰修復。
-
將金鑰還原至用戶端電腦。
若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理。
 | 取得備份憑證的序號 |
登入裝載憑證授權單位 (CA) 的電腦。
開啟 [憑證授權單位] 嵌入式管理單元。
在主控台樹狀目錄中,按一下 CA 名稱,然後按一下 [已發出的憑證]。
在 [檢視] 功能表上,按一下 [新增/移除欄位]。
在 [可用欄位] 之下,按一下 [備份金鑰],然後按一下 [新增]。
[備份金鑰] 現在應該出現在 [已顯示欄位] 中。
按一下 [確定],然後在詳細資料窗格中,向右捲動,並確認已發行給使用者的最新憑證在 [備份金鑰] 欄位中的值為 [是]。
按兩下憑證。
按一下 [詳細資料] 索引標籤。記錄憑證的序號 (請勿在數字組間包含空格)。您需要此資訊,才能完成修復程序。
序號為長度 20 個字元的十六進位字串。私密金鑰的序號與憑證序號相同。基於此程序的目的,序號將被稱為 serialnumber。
按一下 [確定],並關閉 [憑證授權單位] 嵌入式管理單元。
在命令提示字元下,輸入:
Certutil -getkey <serialnumber> outputblob
附註 此命令之輸出中的 [接收者資訊] 區段會識別金鑰修復代理憑證的序號,以使用其私密金鑰解密項目並修復金鑰。
在命令提示字元下,輸入:
dir outputblob
附註 如果檔案 outputblob 不存在,您可能輸入不正確的憑證序號。outputblob 檔案是 PKCS #7 檔案,其中包含金鑰修復代理憑證和使用者憑證及鏈結。內容為已加密的 PKCS #7 檔案,其中包含私密金鑰 (已加密為金鑰修復代理憑證)。
網域系統管理員必須將輸出檔案傳送至金鑰修復代理,以執行實際修復程序。
您必須具備已使用 CA 登錄之金鑰修復代理憑證的使用者,才能完成此程序。金鑰修復代理必須儲存於將執行金鑰修復程序之電腦的金鑰修復代理 [個人] 憑證存放區。如需相關資訊,請參閱實作以角色為基礎的管理。
| 修復備份憑證 |
在命令提示字元下,輸入:
Certutil -recoverkey outputblob <filename>.pfx
當系統提示時,輸入新密碼。當系統要求時,請再次輸入密碼,以確認新密碼。
將已儲存的 .pfx 檔案複製到要完成修復的電腦上。
關閉所有視窗,並登出電腦。
在修復金鑰之後,必須將之匯入儲存資料的電腦上。
您必須是已發行憑證的用戶端,或用戶端電腦上的系統管理員,才能完成此程序。如需相關資訊,請參閱實作以角色為基礎的管理。
| 匯入修復的金鑰 |
針對已發行憑證的使用者,開啟 [憑證] 嵌入式管理單元。
在主控台樹狀目錄中,於 [個人] 上按一下滑鼠右鍵,按一下 [所有工作],然後按一下 [匯入]。
在 [憑證匯入精靈] 中,按 [下一步]。
在 [檔案名稱] 中,輸入 .pfx 檔案的路徑和檔案名稱,然後按 [下一步]。
在 [密碼] 中,輸入在先前程序中輸入的密碼,然後按 [下一步]。
在 [憑證存放區] 頁面上,按一下 [自動根據憑證類型來選取憑證存放區],然後按 [下一步]。
在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。
若要確認已成功匯入修復的憑證,請在主控台樹狀目錄中,按兩下 [個人],然後按一下 [憑證]。
按兩下憑證。按一下 [詳細資料] 索引標籤,然後確認序號與原始序號相符。
其他考量
-
若要開啟命令提示字元,按一下 [開始],指向 [所有程式],再按一下 [附屬應用程式],然後按一下 [命令提示字元]。