Резервное копирование сертификатов. Часть 4

Особенности резервного копирования сертификата и закрытого ключа при использовании смарт-карт

Каждая смарт-карта использует свое собственное хранилище для размещения сертификатов и закрытых ключей. Генерация пары асимметричных ключей (закрытого и открытого) производится внутри самой смарт-карты, и закрытый ключ затем никогда ее не покидает. Такой подход обеспечивает высокую степень защищенности закрытого ключа. Однако, выход из строя смарт-карты потребует полной замены цифровых сертификатов и последующей настройки приложений.

При необходимости создания резервной копии закрытого ключа и сертификата, хранимых на смарт-карте, необходимо сгенерировать запрос получения сертификата вне смарт-карты, сохранить полученный сертификат в формате .pfx, а затем импортировать сертификат и закрытый ключ в смарт-карту.

Файл в формате .pfx и будет требуемой резервной копией, которую затем можно будет восстановить на другой смарт-карте.

P.S. Для возможности экспорта закрытого ключа из локального хранилища не забудьте заранее разрешить экспорт закрытых ключей в свойствах шаблона запрашиваемого сертификата и затем указать в запросе на получение сертификата, что ключ является экспортируемым. При экспорте сертификата в файл .pfx лучше указывать опцию удаления из компьютера локальной копии закрытого ключа, чтобы затем закрытый ключ физически сохранялся только в резервном файле и на самой смарт-карте.

 

Подробнее о смарт-картах и Windows PKI:
http://technet.microsoft.com/en-us/library/dd277377.aspx

Схема процесса генерации ключей для смарт-карт:
http://technet.microsoft.com/en-us/library/Dd277377.smar0307_big(en-us,TechNet.10).gif

Подробнее о процедуре запроса сертификата для смарт-карты:
http://technet.microsoft.com/en-us/library/dd277383.aspx

Подробнее об импорте ключей в смарт-карту:
http://blogs.technet.com/b/pki/archive/2007/11/13/manually-importing-keys-into-a-smart-card.aspx

 

Связанные статьи:

Posted by Alexey Gorbunov on 10/27/2010
Теги:

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)