Резервное копирование сертификатов. Часть 1

Общая часть

Клиентские цифровые сертификаты широко используются в современных коммуникациях. Варианты их применения могут быть самые различные:

  • клиентские сертификаты для подключения к веб-серверу по SSL (например, в системах клиент-банк);
  • клиентские сертификаты для шифрования данных (например, при использовании Encrypted File System – EFS);
  • клиентские сертификаты для добавления цифровой подписи в сообщения электронной почты.

Функционирование приложений, доступность зашифрованных данных в этих примерах целиком зависит от доступности клиентского сертификата пользователя и закрытого ключа, ассоциированного с используемым клиентским сертификатом.

На клиентском компьютере с  Windows XP пользовательские сертификаты хранятся в открытом виде в профиле пользователя в папке \Application Data\Microsoft\SystemCertificates\My\Certificates. После входа пользователя в систему сертификаты записываются в специальную область в реестре, откуда к ним получают доступ приложения. Ассоциированные с сертификатами закрытые ключи хранятся в зашифрованном виде в профиле пользователя в папке \Application Data\Microsoft\Crypto\RSA. Закрытые ключи зашифрованы с помощью периодически обновляемого мастер-ключа пользователя.

Что произойдет с приложениями, если клиентский сертификат или закрытый ключ окажутся недоступными, например, при полной переустановке операционной системы или полном удалении профиля пользователя? Ответ очевиден, функционировать приложения не смогут, расшифровать данные будет невозможно.

Для предотвращения описанной выше ситуации системному администратору необходимо спланировать процедуры резервного копирования сертификатов и закрытых ключей.

Возможные варианты резервного копирования сертификатов следующие:

  • экспорт сертификатов и ключей вручную в отдельные файлы;
  • централизованное архивирование сертификатов и ключей средствами Certificate Services (AD CS в Windows Server 2008).

В последующих статьях я рассмотрел варианты резервного копирования подробнее:

Чтобы не перегружать статьи я постарался сконцентрироваться на описании самого процесса архивирования ключей, а не детальных шагах и скриншотах. Если информации окажется недостаточно, оставьте свой комментарий, я с удовольствием добавлю нужные детали.

Комментариев нет:

Отправка комментария