Резервное копирование сертификатов. Часть 2

Архивирование клиентских сертификатов и ключей вручную

Архивирование сертификатов при данном подходе выполняется методом экспорта сертификата в файл.

Экспорт цифрового сертификата может быть выполнен в одном из двух форматов:

  • экспорт только сертификата без экспорта закрытого ключа;
  • экспорт сертификата вместе с закрытым ключом.

 

Для выполнения операции экспорта пользовательского сертификата необходимо подключиться к пользовательскому хранилищу сертификатов.

Первый способ – открыть Microsoft Management Console и добавить в нее оснастку Сертификаты.

Второй, более простой способ добраться до цифровых сертификатов пользователя, – открыть Internet Explorer и в свойствах обозревателя открыть вкладку Содержание.

clip_image001

При нажатии кнопки Сертификаты открывается окно, выводящее несколько вкладок различных типов сертификатов, которые есть у пользователя. В нашем случае нужна первая вкладка Личные.

Выбрав нужный сертификат, нажимаем кнопку Экспорт… и в запустившемся мастере экспорта выбираем формат экспортируемого файла.

clip_image002

На приведенном выше рисунке первые три опции доступны, а вот четвертая опция Файл обмена личной информацией – PKSC #12 (.PFX) является недоступной. Почему?

Потому что первые три опции экспортируют в файл только сам сертификат, а закрытый ключ остается в операционной системе. Четвертая же опция экспортирует сертификат вместе с закрытым ключом и данная операция является критичной с точки зрения безопасности. Для того, чтобы вы могли экспортировать из системы закрытый ключ, ваш запрос на получение сертификата должен заранее содержать разрешение на экспорт ключа, а шаблон сертификата (это уже настройки самого центра сертификации) должен разрешать такие запросы.

 

Ваши задачи как системного администратора в данном случае - заранее спланировать возможность экспорта закрытых ключей из клиентской машины (опция Allow private key to be exported на вкладке Request Handling в свойствах шаблона сертификата), а затем обойти все клиентские машины и экспортировать в централизованное хранилище (флешка, общая папка) клиентские сертификаты в формате .pfx.

Организационные и технические вопросы защиты централизованного хранилища фалов .pfx выходят за рамки данной статьи.

Процесс восстановления сертификатов в нашей схеме будет очень простой: после переустановки операционной системы и приложений нужно дважды щелкнуть на сохраненном файле .pfx и импортировать сертификат и закрытый ключ в хранилище.

 

Подробнее о настройках шаблонов сертификатов: http://technet.microsoft.com/en-us/library/cc725621(WS.10).aspx.

 

Связанные статьи:

Комментариев нет:

Отправка комментария