Архивиране и възстановяване на ключове

Тази статия ще обсъди как да конфигурирате хранилището на сертификати в Windows 2003 Enterprise за архивиране и възстановяване на ключове (сертификати) за криптиране на имейл.

Започвайки с Windows 2003 Server, Microsoft подобри своето решение PKI (инфраструктура с публичен ключ) със следните функции:

  • Архивиране и възстановяване на ключове
  • Разделяне на ролите
  • Квалифицирана подчиненост
  • Версия 2 на шаблони за сертификати

За да получите всички иновации, трябва да закупите Windows Server 2003 Enterprise, тъй като стандартната версия на тази система няма всички посочени възможности.

Едно от основните подобрения е архивирането и възстановяването на ключове. С негова помощ всеки сертификат (частен ключ), издаден от хранилището за сертификати на Windows 2003 Enterprise, ще бъде архивиран там. Архивирането на ключове не е възможно за сертификати, издадени само за подписване на имейли.

В тази статия ще „издадем“ сертификат на потребителя на MSEXCHANGEORG и ще си представим, че потребителят е загубил своя пощенски сертификат. След това, като използваме агента за възстановяване на ключове (KRA) и помощната програма KRT.EXE от Windows Server 2003 Resource Kit, ще го възстановим.

Статията предоставя само общ преглед на целия процес.

Архивирането и възстановяването на ключове изисква следните стъпки:

  • Активиране на агент за възстановяване на ключове (KRA)
  • Активиране на функцията за архивиране за ключове за хранилище на сертификати (CA)
  • Издаване на пощенски сертификати на потребители
  • Възстановяване на пощенски сертификати (помощни програми KRT и CERTUTIL)

Активиране на агент за възстановяване на ключове

На първо място, имате нужда от агент за възстановяване на ключове. Агент - високо доверено лице, което отговаря за възстановяването на загубени или повредени архивирани потребителски сертификати.

Трябва да издадем сертификат за агент за избрания потребител. За това:

  • Стартирайте Windows 2003 CA конзолата
  • Създайте нов шаблон, наречен агент за възстановяване на ключове
  • Поискайте този сертификат за потребителя, който ще действа като агент.
  • Поставете сертификата на агента в магазина (CA) ръчно

Фигура 1 показва сертификат за агент, издаден на потребител с акаунт на администратор.

възстановяване ключове

Важно!
Windows 2003 CA няма да издава автоматично този сертификат на потребителя, който го поиска. Администраторът на CA трябва ръчно да издаде такъв сертификат в MMC конзолата.

CA активиране за архивиране на ключове

Сега трябва да активирате CA за архивиране на ключове. Стартирайте MMC Console за CA и отидете на CA Properties - агенти за възстановяване

Поради факта, че възстановяването на ключове е много чувствителна операция към изискванията за сигурност, трябва да определите колко агенти за възстановяване са необходими за архивиране на ключове. Щракнете върху Добавяне, за да импортирате сертификата на агент за възстановяване на ключове. След това щракнете върху OK и рестартирайте CA услугата.

ключове

Сега нека създадем дубликат на шаблона за пощенски сертификат в Windows 2003 CA. За какво? Факт е, че шаблонът за пощенски ключ по подразбиране не позволява архивиране на частни публични ключове. Стартирайте MMC Console за CA, отидете на Шаблони за сертификати, щракнете с десния бутон върху Управление - изберете Шаблон за потребителски сертификат на Exchange. Изберете Дубликат и посочете име за новия шаблон. В раздела Заявка за обработка поставете отметка в квадратчето Архивиране на личен ключ за криптиране.

ключове

Новият шаблон за сертификат вече е готов за издаване на нови сертификати и архивни ключове.

архивиране

Издаване на пощенски сертификати на потребители

Системата има възможност за автоматично регистриране на сертификати за всички потребители и компютри на услугата Directory и груповите правила. Автоматичната регистрация изисква да работи средата на Directory Services в клиенти на Windows 2003 и Windows 2003. В нашия случай ще се съгласим потребителят на MSEXCHANGEORG да поиска ръчно потребителски сертификат на Exchange (KeyARC).

ключове

Възстановяване на пощенски сертификати (помощни програми KRT и CERTUTIL)

Представете си, че потребителят MSEXCHANGEORG е загубил своя пощенски сертификат и сега той не е в състояние да криптира нови съобщения и да декриптира съществуващите. Това е голям проблем при липсата на активирано архивиране на ключове в Windows 2003 CA.

Нека да разгледаме лесен начин за възстановяване на изгубен сертификат с частен ключ.

Има два начина за решаване на проблема:

Това е вграден инструмент за команден ред за администриране на Windows 2003 CA. Той има няколко контролни ключа за администриране на CA и възстановяване на ключове.

Инструментът за възстановяване на ключове (KRT.EXE) е нов инструмент, който е част от набора от ресурси на Windows Server 2003. KRT е графичният интерфейс за инструмента CERTUTIL. Като пример ще разгледаме използването на точно KRT.

За да възстановите сертификат, трябва да имате уникален идентификатор. Ще използваме серийния номер на сертификата. Серийният номер може да бъде намерен в сертификатите, издадени от MMC конзолата за CA. Фигура 6 показва архивирания ключ за потребителя MSEXCHANGEORG. За да видите дали е архивиран сертификат, добавете колоната Архивиран ключ към изгледа.

архивиране

След като изтеглите и инсталирате помощните програми на Windows 2003 Resource Kit, стартирайте инструмента KRT. Изберете хранилището на сертификати. Посочете серийния номер на сертификата като критерий за търсене и въведете серийния номер на възстановения сертификат. Сега щракнете върху Намери, изберете необходимия сертификат от резултатите от търсенето и щракнете върху Възстановяване.

ключове

Възстановеният сертификат може да бъде записан като PFX файл. Името на файла ще бъде серийният номер на сертификата. Препоръчително е да преименувате файла на сертификата, за да улесните запомнянето и разграничаването от другите.

Windows 2003

Сега трябва да прехвърлите сертификата на потребителя. Не използвайте имейл за изпращане на PFX файлове. Тези файлове съдържат личните ключове на потребителя. След получаване на сертификата потребителят може да го импортира с просто щракване два пъти.

Заключение

Архивирането на ключове е мощно оръжие за администратор за намаляване на времето, необходимо за възстановяване на потребителски сертификати. От друга страна е много важно да се гарантира сигурността на CA (физическа и логическа), като се предостави възможност за възстановяване на ключове само на най-доверените администратори.