Архивирование клиентских сертификатов и ключей вручную
Архивирование сертификатов при данном подходе выполняется методом экспорта сертификата в файл.
Экспорт цифрового сертификата может быть выполнен в одном из двух форматов:
- экспорт только сертификата без экспорта закрытого ключа;
- экспорт сертификата вместе с закрытым ключом.
Для выполнения операции экспорта пользовательского сертификата необходимо подключиться к пользовательскому хранилищу сертификатов.
Первый способ – открыть Microsoft Management Console и добавить в нее оснастку Сертификаты.
Второй, более простой способ добраться до цифровых сертификатов пользователя, – открыть Internet Explorer и в свойствах обозревателя открыть вкладку Содержание.
При нажатии кнопки Сертификаты открывается окно, выводящее несколько вкладок различных типов сертификатов, которые есть у пользователя. В нашем случае нужна первая вкладка Личные.
Выбрав нужный сертификат, нажимаем кнопку Экспорт… и в запустившемся мастере экспорта выбираем формат экспортируемого файла.
На приведенном выше рисунке первые три опции доступны, а вот четвертая опция Файл обмена личной информацией – PKSC #12 (.PFX) является недоступной. Почему?
Потому что первые три опции экспортируют в файл только сам сертификат, а закрытый ключ остается в операционной системе. Четвертая же опция экспортирует сертификат вместе с закрытым ключом и данная операция является критичной с точки зрения безопасности. Для того, чтобы вы могли экспортировать из системы закрытый ключ, ваш запрос на получение сертификата должен заранее содержать разрешение на экспорт ключа, а шаблон сертификата (это уже настройки самого центра сертификации) должен разрешать такие запросы.
Ваши задачи как системного администратора в данном случае - заранее спланировать возможность экспорта закрытых ключей из клиентской машины (опция Allow private key to be exported на вкладке Request Handling в свойствах шаблона сертификата), а затем обойти все клиентские машины и экспортировать в централизованное хранилище (флешка, общая папка) клиентские сертификаты в формате .pfx.
Организационные и технические вопросы защиты централизованного хранилища фалов .pfx выходят за рамки данной статьи.
Процесс восстановления сертификатов в нашей схеме будет очень простой: после переустановки операционной системы и приложений нужно дважды щелкнуть на сохраненном файле .pfx и импортировать сертификат и закрытый ключ в хранилище.
Подробнее о настройках шаблонов сертификатов: http://technet.microsoft.com/en-us/library/cc725621(WS.10).aspx.
Связанные статьи:
- Часть 1. Общая часть
- Часть 2. Резервное копирование сертификатов и ключей вручную
- Часть 3. Централизованное резервное копирование
- Часть 4. Особенности резервного копирования ключей для смарт-карт
Комментариев нет:
Отправить комментарий