ceac網(wǎng)絡(luò)工程師教案100課時(shí)第三十一講

CEAC網(wǎng)絡(luò)工程師第三十一講企業(yè)級密鑰備份最佳實(shí)踐－密鑰恢復(fù)代理（KRA）一、證書模板的類型：二、密鑰恢復(fù)代理：DRA：數(shù)據(jù)恢復(fù)代理。三、在XP上刪除及恢復(fù)密鑰過程：

1.用一個(gè)域用戶ab登錄一臺客戶機(jī)，然后對某一文件進(jìn)行加密，之后用本機(jī)管理員登錄該客戶機(jī)，將C:\DocumentsandSettings\ab\Application\Data\Microsoft\Crypto\RSA下的文件刪除，這

時(shí)再用ab登錄，看能否解密其加密過的文件。注：RSA下的文件為該用戶ab的私鑰存放位置。在單機(jī)上恢復(fù)密鑰最佳操作：2.解決方法：①在域上將域管理員administrator的證書從mmc里的個(gè)人證書下將其導(dǎo)出，導(dǎo)出時(shí)選擇導(dǎo)出私鑰，然后再將其導(dǎo)入客戶端的計(jì)算機(jī)上。②提前將ab的證書導(dǎo)出，這樣ab就不用擔(dān)心加密文件無法打開的問題。典型企業(yè)案例分析：某企業(yè)業(yè)務(wù)部門的業(yè)務(wù)經(jīng)理在2003年6月5號對自己的一份重要合同進(jìn)行了加密，而在2003年6月8號時(shí)整個(gè)企業(yè)的域控制器全部癱瘓，須要重新安裝系統(tǒng)。那么重新安裝系統(tǒng)之后此業(yè)務(wù)經(jīng)理加密過的合同還能否被解密？如果你是該公司的網(wǎng)管，你應(yīng)該如何做才能確保證整個(gè)企業(yè)的加密文件無論在何種情況下都能被正常解密？四、自定義模板：自定義模板的好處：可以讓一個(gè)模板包含多個(gè)模板策略，以便減少客戶端申請證書模板的個(gè)數(shù)。五、演示：自定義模板的創(chuàng)建1.自定義一個(gè)模板，此模板既能做加密，還能做代碼簽名。2.選中證書模板中的基本EFS，右擊、復(fù)制模板，起個(gè)名字如EFSV2。3.在EFSV2的模板屬性頁里可以更改有效期，密鑰長度，并將允許導(dǎo)出私鑰取消。自定義模板的創(chuàng)建4.在擴(kuò)展屬性頁里的應(yīng)用程序策略里我們可以將多個(gè)模板策略（如代碼簽名）添加進(jìn)來，這樣一個(gè)模板就包含了多個(gè)策略，用戶通過申請這樣的一個(gè)模板就可以實(shí)現(xiàn)多個(gè)策略的目的。5.在安全選項(xiàng)卡里設(shè)置認(rèn)證用戶組和普通用戶組具有讀取和注冊的權(quán)限，管理員具有完全控制權(quán)限。自定義模板的創(chuàng)建6.在取代模板屬性里用新的模板將原有的模板替換掉。7.在處理請求選項(xiàng)卡里，設(shè)成簽名和加密。8.在證書頒發(fā)機(jī)構(gòu)下的證書模板里將自定義的

EFSV2模板添入并將以前的基本EFS刪掉。六、演示：密鑰恢復(fù)代理的創(chuàng)建1.在證書模板里打開密碼恢復(fù)代理(KRA)，在安全

選項(xiàng)卡頁里只給域管理員組讀取和注冊的權(quán)限，其它用戶不給注冊權(quán)限。2.在證書頒發(fā)機(jī)構(gòu)下的證書模板里將密鑰恢復(fù)代理

添入。注意：恢復(fù)代理證書一般都是給管理員的。3.在certmgr.msc控制臺里為管理員申請一個(gè)密鑰恢復(fù)代理證書。

4.在證書頒發(fā)機(jī)構(gòu)的CA名字上右擊、屬性、故障恢復(fù)代理、選中存儲密鑰、將新申請的密鑰恢復(fù)代理添入即可。

5.在證書模板里打開EFSV2的屬性，將處理請求中的使用者的加密私鑰存檔選中，在安全選項(xiàng)卡中將認(rèn)證用戶組和普通用戶組設(shè)為自動(dòng)注冊證書。6.在EFSV2模板右擊、重新注冊所有者證書所有者。

7.在默認(rèn)域策略中的用戶配置下的公鑰策略上將自動(dòng)注冊下面的兩項(xiàng)內(nèi)容全部選中。

8.gpupdate/foprce9.在客戶端用域上的普通用戶登錄做測試。在

certmgr.msc里的個(gè)人證書下看EFSV2證書是否被自動(dòng)頒發(fā)給該用戶。七、演示：客戶端密鑰丟失的解決方案：1.certutil-getkey證書序列號

a.pfx2.certutil-recoverkeya.pf