Mentése és exportálása saját tanúsítvány kulcsú tanúsítási központok Microsoft Active Directory

Hogy csinálod?

Ahogy remélhetőleg tudják, hogy titkosítja az e-mail üzeneteket a nyilvános kulcs hitelesítés a felhasználó, aki elküldte a levelet. Visszafejteni e-maileket a privát kulcs a vevő felhasználói tanúsítványt.

Amikor egy felhasználó kér igazolást, hogy lesz titkosításhoz használt \ dekódolás az e-mail, a tanúsítványt a privát kulcsot kap egy vaskazetta a felhasználói profilt. Ezután a privát kulcs már fel lehet használni más célokra.

Alapértelmezésben a CA nem tárolja a felhasználó privát kulcsot. Természetesen ez azért van, hogy biztosítsák a biztonságos levelezés. Microsoft kifejlesztett egy külön eljárás tartósítására privát kulcsokat CA-alapú adatok (Certification Authority, a CA), majd exportálja őket, ha szükséges.

A főbb állomásai ezt az eljárást:

1. Úgy konfigurálja archiválás privát kulcs a szerveren.
2. Abban az időben a tanúsítvány kiállításának, a privát kulcsot is bemásolja az adatbázis és a titkosított külön bizonyítványt - Key Recovery Agent (KRA).
3. Ha szükséges, állítsa vissza a \ exportál privát kulcs, dekódolásra kerül a Key Recovery Agent (KRA).

Lássuk, hogyan Ezeket a lépéseket.

Beállítása archiválás privát kulcsokat a szerveren.

Szükséged lesz egy Key Recovery Agent bizonyítvány (KRA), amelyet a fiókjába.

• Nyissa ki a Certificate Authority beépülő modult. kattintson jobb gombbal a Tanúsítványsablonok és válassza a Kezelés. Nyissa meg a tulajdonságait a Key Recovery Agent sablont. A Biztonság lapon, akkor láthatjuk, hogy alapértelmezés szerint csak a tagok Domain és Vállalati adminok jogosultsága megszerzéséhez tanúsítványokat. Lehet, hogy szeretné megváltoztatni a jogosultságokat, és korlátozzák senkit. Például, mi a szervezet a domain rendszergazdája zártuk ezt a lehetőséget.

• A beépülő modul Certificate Authority. nyissa Tanúsítványsablonok. és hogy a Key Recovery Agent sablont tanúsítvány kiadására (a jobb gombbal a Tanúsítványsablonok menü Új pontjára, és válassza ki a tanúsítvány sablon kérdés).

• Most egy rendszergazda fiók a kiszolgálón Certificate Authority. meg kell kérni az igazolást át KRA beépülő Svoi személyes tanúsítványt (certmgr.msc). Ez kiállított igazolást, hogy megjelenik a személyes tanúsítványok tárolására.

• A beépülő modul Certificate Authority, jobb klikk a CA, és válassza ki a Tulajdonságok menüpontot. A Recovery minőségben fülre. válassza Archívum a billentyűt, és kattintson a Hozzáadás a KRA tanúsítványokat. Válassza ki a tanúsítványt, majd kattintson az Alkalmaz gombra.

• A felhasználói tanúsítvány sablon beállításait kell konfigurálni archiválás privát kulcsokat. Ehhez válassza ki a Tanúsítványsablonok és kattintson a Manage. Válassza ki a kívánt tanúsítványt, és kattintson a Tulajdonságok parancsra. Nyissa meg a kérelem kezelése fülre, és válassza az Archive alany titkosítási kulcsát.

• Most a titkos kulcsok az újonnan kibocsátott tanúsítványok archiválása CA szerver tárol. Ha a tanúsítvány titkos kulcs archivált, a jelzés kerül az oszlop archivált Key (hozzá kell tenni keresztül kilátás, hozzáadása / eltávolítása oszlop).

Export archív kulcsok

Amikor saját tanúsítvány kulcs volt a fájl, a kulcs alapján visszafizetendő a rendszergazda fiók, amely egy Key Recovery Agent igazolás (tanúsítvány és a saját kulcs titkosításhoz használt). A parancs futtatásához az export, meg kell tudni, hogy a sorszám a tanúsítvány, amely kulcsfontosságú lesz helyreállítani. A sorozatszám megtalálható a Részletek lapon a tanúsítvány tulajdonságait.

A sorozatszám a visszanyert bizonyítvány kapunk némi BLOB szerkezet (feltehetően egy bináris kód egy adatbázisból, vagy inkább nem tudom). Ezután konvertálja BLOB-bizonyítvány pfx-in fájlt, amely a nyilvános és titkos kulcsokat. Ez a fájl jelszóval kell védeni. Az alábbiakban az utasításokat, hogyan kell csinálni.

Most van egy * .pfx-fájl, amely már importálja minden felhasználó profilját. Ne felejtse el a jelszót.

Feltéve áruház tanúsítványok Key Recovery Agent (KRA), valamint azok életciklusa

Így már foglalkozott az alapvető műveleteket. Most meg kell gondolni egy nagyon fontos dolog.

Ha ehhez hozzátesszük a KRA tanúsítványt a szerverre, meg kell értenünk, hogy a privát kulcs, hogy a CA-szerver lesz archiválva ténylegesen kódolt nyitott klyuom KRA tanúsítványt. Ezért kell emlékezni, hogy mi kell figyelmes, hogy a megőrzése zárt KRA bizonyítvány írjuk be felhasználói profilt a kiszolgálón. Szükség lehet exportálni a KRA tanúsítvány a privát kulcsot és egy biztonsági másolat valamilyen biztonságos tárolására.

És most nézd meg az alábbi képet:

Mit gondol, ha visszakapja a privát kulcs használatával KRA tanúsítvány (b). Válasz: Nem, nem tudsz. Ezért is meg kell nézni közelről, úgyhogy KRA-tanúsítványt nem jár le, és cserélje ki őket időben. Ügyeljen arra, hogy meghosszabbítja KRA-igazolások, a meglévő (régi) privát kulcs.

Egy másik módja, hogy megvédje az archivált kulcsok -, hogy nem egy, hanem két KRA bizonyítványt minden CA szerver, amint az a fenti ábrán.

És az utolsó. Ön is elkészítheti, vagy PowerShell Bash szkript automatikusan letölti az összes privát kulcsot a szerverről. Azt, hogy úgy mondjam, az utolsó lövés.