Архивиране и възстановяване на ключове

Тази статия ще обсъди как да конфигурирате хранилището на сертификати в Windows 2003 Enterprise за архивиране и възстановяване на ключове (сертификати) за криптиране на имейл.

Започвайки с Windows 2003 Server, Microsoft подобри своето решение PKI (инфраструктура с публичен ключ) със следните функции:

  • Архивиране и възстановяване на ключове
  • Разделяне на ролите
  • Квалифицирана подчиненост
  • Версия 2 на шаблони за сертификати

За да получите всички иновации, трябва да закупите Windows Server 2003 Enterprise, тъй като стандартната версия на тази система няма всички посочени възможности.

Едно от основните подобрения е архивирането и възстановяването на ключове. С негова помощ всеки сертификат (частен ключ), издаден от хранилището за сертификати на Windows 2003 Enterprise, ще бъде архивиран там. Архивирането на ключове не е възможно за сертификати, издадени само за подписване на имейли.

В тази статия ще „издадем“ сертификат на потребителя на MSEXCHANGEORG и ще си представим, че потребителят е загубил своя пощенски сертификат. След това, като използваме агента за възстановяване на ключове (KRA) и помощната програма KRT.EXE от Windows Server 2003 Resource Kit, ще го възстановим.

Статията предоставя само общ преглед на целия процес.

Архивирането и възстановяването на ключове изисква следните стъпки:

  • Активиране на агент за възстановяване на ключове (KRA)
  • Активиране на функцията за архивиране за ключове за хранилище на сертификати (CA)
  • Издаване на пощенски сертификати на потребители
  • Възстановяване на пощенски сертификати (помощни програми KRT и CERTUTIL)

Активиране на агент за възстановяване на ключове

На първо място, имате нужда от агент за възстановяване на ключове. Агент - високо доверено лице, което отговаря за възстановяването на загубени или повредени архивирани потребителски сертификати.

Трябва да издадем сертификат за агент за избрания потребител. За това:

  • Стартирайте Windows 2003 CA конзолата
  • Създайте нов шаблон, наречен агент за възстановяване на ключове
  • Поискайте този сертификат за потребителя, който ще действа като агент.
  • Поставете сертификата на агента в магазина (CA) ръчно

Фигура 1 показва сертификат за агент, издаден на потребител с акаунт на администратор.

възстановяване ключове

Важно!
Windows 2003 CA няма да издава автоматично този сертификат на потребителя, който го поиска. Администраторът на CA трябва ръчно да издаде такъв сертификат в MMC конзолата.

CA активиране за архивиране на ключове

Сега трябва да активирате CA за архивиране на ключове. Стартирайте MMC Console за CA и отидете на CA Properties - агенти за възстановяване

Поради факта, че възстановяването на ключове е много чувствителна операция към изискванията за сигурност, трябва да определите колко агенти за възстановяване са необходими за архивиране на ключове. Щракнете върху Добавяне, за да импортирате сертификата на агент за възстановяване на ключове. След това щракнете върху OK и рестартирайте CA услугата.