Как восстановить закрытый ключ

Обновлено: 04.07.2024

При запросе сертификата с помощью ЦС Windows пользователи могут заархивировать свой закрытый ключ ЦС. В случае катастрофического сбоя системы, в результате которого пользователь теряет всю свою систему, эта функция позволяет восстановить закрытый ключ пользователя.

Поддержка этого процесса архивации и восстановления включена в SafeNet ProtectToolkit -M. Следующие примеры демонстрируют использование этой возможности.

Пример архивации закрытого ключа

Вот задачи, необходимые для архивирования закрытого ключа с помощью центра сертификации (ЦС) Майкрософт.

> Создайте учетную запись агента восстановления ключа

> Получите сертификат агента восстановления ключа

> Настройте центр сертификации, чтобы разрешить восстановление ключа

> Создайте новый шаблон сертификата, позволяющий архивировать ключи

> Получить сертификат пользователя с архивным ключом

Предпосылки

Перед выполнением этих задач:

> У вас должен быть контроллер домена Windows Server.

> Контроллер домена Windows Server также должен быть настроен как корневой или подчиненный ЦС предприятия.

> Должен существовать пользовательский набор ключей для пользователя. Дополнительную информацию см. в разделе «Создание пользовательских наборов ключей».

> Должен быть установлен флаг Разрешить четкий экспорт закрытых ключей. Процедуру см. в разделе Включение экспорта очистки закрытого ключа.

Задача 1. Создание учетной записи агента восстановления ключей

Настройте и добавьте шаблон сертификата Key Recovery Agent в качестве шаблона, который может быть выдан ЦС предприятия.

Чтобы проверить, кто может зарегистрировать шаблон Key Recovery Agent:
<р>1. Войдите в систему как администратор.

<р>2. Нажмите «Пуск», «Выполнить», введите certtmpl.msc и нажмите Enter.

Откроется оснастка "Шаблоны сертификатов" в консоли управления Microsoft.

<р>3. В дереве консоли нажмите «Шаблоны сертификатов».

<р>4. В области сведений щелкните правой кнопкой мыши Агент восстановления ключей и выберите пункт Свойства. Выберите вкладку Безопасность.

По умолчанию группы безопасности, которые могут зарегистрировать шаблон сертификата Key Recovery Agent, — это администраторы домена и администраторы предприятия.

<р>5. Чтобы разрешить другим пользователям или группам регистрировать шаблон сертификата Key Recovery Agent, нажмите «Добавить», чтобы добавить пользователя или группу и предоставить им разрешения на чтение и регистрацию.

Чтобы изменить стандартное поведение выдачи шаблона Key Recovery Agent:
<р>1. В свойствах агента восстановления ключей перейдите на вкладку Требования к выдаче.

<р>2. Снимите флажок "Утверждение диспетчером сертификатов ЦС" и нажмите "ОК".

<р>3. Закройте консоль управления Microsoft.

Чтобы изменить обработку запросов, чтобы разрешить CSP Safenet:
<р>1. В свойствах агента восстановления ключей перейдите на вкладку "Обработка запросов".

<р>2. Установите флажок Разрешить экспорт закрытого ключа.

<р>3. Нажмите кнопку CSP и установите переключатель, чтобы разрешить запросы на использование любого CSP, доступного на компьютере субъекта.

Чтобы настроить центр сертификации (CA) для выдачи сертификатов Key Recovery Agent:
<р>1. В меню "Администрирование" нажмите "Центр сертификации".

Откроется оснастка "Центр сертификации" в консоли управления Microsoft.

<р>2. В дереве консоли дважды щелкните ЦС и выберите Шаблоны сертификатов.

<р>3. Щелкните правой кнопкой мыши Шаблоны сертификатов, а затем выберите Создать шаблон сертификата для выпуска.

<р>4. В разделе «Включить шаблон сертификата» нажмите «Агент восстановления ключей», а затем нажмите «ОК».

Задача 2. Получение сертификата агента восстановления ключа

Выполняя эту серию шагов, вы получите сертификат агента восстановления ключей для восстановления закрытых ключей. Начните с создания консоли MMC с загруженной оснасткой «Сертификаты».

Чтобы убедиться, что вы вошли в систему как администратор:
<р>1. На панели задач нажмите кнопку "Пуск" и выберите "Выполнить".

<р>2. В поле «Выполнить» введите mmc и нажмите «ОК».

<р>3. В меню "Файл" выберите "Добавить/удалить оснастку".

<р>4. В разделе "Добавить/удалить оснастку" нажмите "Добавить".

<р>5. В разделе "Добавить автономную оснастку" нажмите "Сертификаты", а затем нажмите "Добавить".

<р>6. В разделе "Сертификаты" нажмите "Моя учетная запись пользователя", а затем нажмите "Готово".

<р>7. Нажмите «Закрыть», а затем нажмите «ОК».

Чтобы получить сертификат Key Recovery Agent:
<р>1. В дереве консоли только что созданной консоли MMC дважды щелкните Сертификаты — Текущий пользователь.

<р>2. В дереве консоли щелкните правой кнопкой мыши Личные, выберите Все задачи, Запросить новый сертификат.

<р>3. В мастере запроса сертификата нажмите "Далее".

<р>4. В разделе "Типы сертификатов" выберите "Агент восстановления ключей" и установите флажок "Дополнительно", а затем нажмите "Далее".

<р>5. На открывшейся странице CSP выберите поставщика SafeNet для хранилища ключей HSM и любые другие подходящие параметры, такие как «Ключ можно экспортировать» и т. д. Затем снова нажмите «Далее» и «Далее».

<р>6.На странице Понятное имя и описание сертификата в поле Понятное имя введите Восстановление ключа и нажмите кнопку Далее.

<р>7. В разделе «Завершение работы мастера запроса сертификата» нажмите «Готово».

<р>8. В дереве консоли дважды щелкните Личные, а затем щелкните папку Сертификаты.

<р>9. Убедитесь, что существует сертификат с понятным именем Key Recovery.

<р>10. Закройте консоль без сохранения изменений.

Задача 3. Настройка ЦС для восстановления ключей

В этой последовательности шагов настройте ЦС предприятия на использование сертификата агента восстановления, полученного в Задаче 2. ЦС должен загрузить открытый ключ для агента восстановления ключей, который будет использоваться для шифрования данных восстановления.

Чтобы настроить агент восстановления в качестве сертификата агента восстановления ключа администратора:
<р>1. Убедитесь, что вы вошли в систему как администратор.

<р>2. В инструментах администрирования откройте Центр сертификации.

Откроется оснастка "Центр сертификации" в консоли управления Microsoft (MMC).

<р>3. В дереве консоли щелкните ЦС.

<р>4. Щелкните ЦС правой кнопкой мыши и выберите "Свойства".

<р>5. В свойствах ЦС на вкладке Агенты восстановления нажмите Архивировать ключ, а затем нажмите Добавить.

<р>6. В разделе «Выбор агента восстановления ключа» щелкните отображаемый сертификат и нажмите кнопку «ОК». Сертификат агента восстановления ключей отображается со статусом «Не загружен».

<р>7. Нажмите OK, а когда будет предложено перезапустить ЦС, нажмите Да.

Чтобы открыть консоль сертификатов, ориентированную на локальный компьютер:
<р>1. На панели задач нажмите кнопку "Пуск" и выберите "Выполнить".

<р>2. В поле «Выполнить» введите mmc и нажмите «ОК».

<р>3. В меню "Файл" выберите "Добавить/удалить оснастку".

<р>4. В разделе "Добавить/удалить оснастку" нажмите "Добавить".

<р>5. В разделе "Добавить автономную оснастку" нажмите "Сертификаты", а затем нажмите "Добавить".

<р>6. В оснастке «Сертификаты» нажмите «Учетная запись компьютера», а затем нажмите «Далее».

<р>7. В разделе «Выбор компьютера» нажмите «Локальный компьютер», а затем нажмите «Готово».

<р>8. Нажмите «Закрыть», а затем нажмите «ОК».

Чтобы проверить установку сертификата Key Recovery Agent (KRA):
<р>1. В дереве консоли дважды щелкните Сертификаты (локальный компьютер), дважды щелкните KRA, а затем щелкните Сертификаты.

<р>2. В области сведений дважды щелкните сертификат.

<р>3. Убедитесь, что сертификат предназначен для агента восстановления ключей, а сертификат выдан администратору. Эта процедура гарантирует, что агент восстановления ключей был успешно настроен.

<р>4. Нажмите OK, а затем закройте консоль без сохранения изменений.

Задача 4. Создание нового шаблона сертификата, позволяющего архивировать ключи

В этой серии шагов вы определяете новый шаблон, который позволяет архивировать ключи и хранить ключи HSM с помощью консоли шаблонов сертификатов. Это позволит хранить аппаратный ключ в HSM на клиентском компьютере и восстанавливать ключ в домене в случае потери или повреждения закрытого ключа на клиентском компьютере.

Чтобы открыть консоль шаблонов сертификатов:
<р>1. Войдите в систему как администратор.

<р>2. На панели задач нажмите кнопку "Пуск" и выберите "Выполнить".

<р>3. В поле «Выполнить» введите mmc и нажмите «ОК».

<р>4. В меню "Файл" выберите "Добавить/удалить оснастку".

<р>5. В разделе "Добавить/удалить оснастку" нажмите "Добавить".

<р>6. В разделе «Добавить автономную оснастку» нажмите «Шаблоны сертификатов», а затем нажмите «Добавить».

<р>7. Нажмите "Закрыть", а затем "ОК".

Теперь создается дубликат шаблона сертификата пользователя с именем «Пользователь архива». Это ярлык для создания шаблона с разрешениями, позволяющими регистрировать сертификаты как администратора домена, так и пользователя домена. Затем шаблон модифицируется таким образом, чтобы регистрация сертификатов, выполненная с использованием этого шаблона, позволяла архивировать ключи и использовать Safenet в качестве CSP.

Чтобы создать модифицированный шаблон сертификата пользователя архива:
<р>1. В дереве консоли щелкните Шаблоны сертификатов.

<р>2. В области сведений щелкните правой кнопкой мыши шаблон пользователя и выберите Дублировать шаблон.

<р>3. В диалоговом окне "Свойства нового шаблона" на вкладке "Общие" в поле "Отображаемое имя шаблона" введите "Пользователь архива".

<р>4. На вкладке «Обработка запросов» включите параметр «Закрытый ключ шифрования субъекта архива» (см. снимок экрана ниже). Этот параметр позволяет агенту восстановления ключей восстановить закрытый ключ из хранилища сертификатов.


< бр /> <р>5. Нажмите кнопку CSP, чтобы включить хранилище ключей HSM с помощью одного или нескольких CSP SafeNet.

Диалоговое окно позволяет выбрать определенные CSP, или все CSP можно включить, выбрав соответствующий переключатель.

Обычно требуется только полный поставщик криптографии Safenet RSA. Поставщик SChannel необходим только там, где будет выполняться обработка SSL.

<р>6.Завершив выбор, нажмите кнопку "ОК" и еще раз "ОК", чтобы применить изменения и закрыть диалоговые окна.

<р>7. Закройте консоль без сохранения изменений.

Задача 5. Получение сертификата пользователя с архивным ключом

В этой серии задач вы настроите центр сертификации (ЦС) для выдачи сертификатов пользователей архива. Используя только что созданную учетную запись, вы будете действовать как пользователь, чтобы получить сертификат пользователя архива от ЦС и записать серийный номер сертификата для последующего использования.

Чтобы настроить CA для выдачи нового шаблона сертификата пользователя архива:
<р>1. Убедитесь, что вы вошли в систему как администратор.

<р>2. В инструментах администрирования откройте Центр сертификации.

<р>3. В дереве консоли дважды щелкните имя ЦС и выберите Шаблоны сертификатов.

<р>4. Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать и выберите Шаблон сертификата для выпуска.

<р>5. В разделе «Включить шаблоны сертификатов» нажмите «Архивировать пользователя», а затем нажмите «ОК».

<р>6. Шаблон сертификата пользователя архива теперь отображается в области сведений.

<р>7. Закрыть центр сертификации.

Чтобы создать новую учетную запись пользователя:
<р>1. В инструментах администрирования откройте «Пользователи и компьютеры Active Directory».

<р>2. Дважды щелкните домен.

<р>3. Выберите «Пользователи», затем нажмите кнопку «Создать нового пользователя в текущем контейнере».

<р>4. Заполните следующие поля, чтобы создать учетную запись пользователя:

а. Имя

б. Фамилия

д. Пароль

<р>5. Нажмите «Далее», а затем нажмите «Готово».

<р>7. В целях демонстрации добавьте пользователя в группу «Операторы сервера», чтобы он мог локально входить в систему на контроллере домена. Обычно это не требуется.

а. Выберите вкладку Участник.

б. Нажмите «Добавить», в поле «Выбрать группы» введите «Операторы сервера», нажмите «Проверить имена» и нажмите «ОК».

<р>в. Нажмите «ОК», чтобы закрыть «Свойства».

<р>8. Закройте пользователей и компьютеры Active Directory.

<р>9. Закройте все открытые окна и выйдите из системы.

Чтобы открыть консоль сертификатов:
<р>1. Войдите в систему как пользователь.

<р>2. На панели задач нажмите кнопку "Пуск" и выберите "Выполнить".

<р>3. В поле «Выполнить» введите mmc и нажмите «ОК».

<р>4. В меню "Файл" выберите "Добавить/удалить оснастку".

<р>5. В разделе "Добавить/удалить оснастку" нажмите "Добавить".

<р>6. В разделе «Добавить автономную оснастку» нажмите «Сертификаты», нажмите «Добавить», а затем нажмите «Закрыть».

<р>7. Нажмите кнопку "ОК", чтобы закрыть диалоговое окно "Добавить/удалить оснастку".

Чтобы использовать MMC сертификатов для получения сертификата пользователя архива:
<р>1. В только что созданной консоли MMC в дереве консоли дважды щелкните Сертификаты (текущий пользователь).

<р>2. В дереве консоли щелкните правой кнопкой мыши Личные, выберите Все задачи, а затем щелкните Запросить новый сертификат.

<р>3. В мастере запроса сертификата нажмите "Далее".

<р>4. В разделе «Типы сертификатов» выберите «Пользователь архива» и установите флажок «Дополнительно». Затем нажмите «Далее».

<р>5. На открывшейся странице CSP выберите поставщика SafeNet для хранилища ключей HSM и любые другие подходящие параметры, такие как экспортируемый ключ и т. д. Затем снова нажмите "Далее" и "Далее".

<р>6. В поле «Понятное имя» введите «Пользователь архива» и нажмите «Далее».

<р>7. По завершении работы мастера запроса сертификата нажмите «Готово».

Если отображается диалоговое окно, показанное ниже, наиболее вероятной причиной проблемы является то, что не установлен флажок Разрешить четкий экспорт закрытых ключей. Дополнительные сведения см. в разделе Включение экспорта закрытого ключа.


< бр /> <р>8. Дважды щелкните Личные, а затем щелкните Сертификаты.

<р>9. В области сведений дважды щелкните сертификат с понятным именем «Пользователь архива».

<р>10. В Сертификате перейдите на вкладку Сведения.

Обратите внимание, что для создания этого сертификата использовался шаблон сертификата "Пользователь архива", затем нажмите "ОК".

<р>11. Закройте новую консоль без сохранения изменений.

<р>12. Закройте все окна и выйдите из системы.

Пример восстановления закрытого ключа

Вот задачи, необходимые для восстановления утерянного закрытого ключа, ранее заархивированного с помощью центра сертификации (ЦС) Майкрософт.

> Выполнить восстановление ключа

> Импортируйте восстановленный закрытый ключ

Задача 1 – восстановление ключа

В этой серии задач выполните восстановление ключа с помощью Certutil.exe. Дополнительные сведения о Certutil см. в документации Microsoft.

Во-первых, убедитесь, что закрытый ключ можно восстановить. Для этого просмотрите столбец "Архивный ключ" в консоли центра сертификации и получите серийный номер сертификата, необходимый для восстановления.

Чтобы получить серийный номер сертификата подтвержденного восстанавливаемого закрытого ключа:
<р>1. Войдите в систему как администратор.

<р>2. В инструментах администрирования откройте Центр сертификации.

<р>3.В дереве консоли дважды щелкните ЦС, а затем щелкните Выданные сертификаты.

<р>4. В меню "Вид" нажмите "Добавить/удалить столбцы".

<р>5. В разделе «Добавить/удалить столбцы» в разделе «Доступный столбец» выберите «Архивный ключ» и нажмите «Добавить». Архивный ключ теперь должен отображаться в отображаемых столбцах.

<р>6. Нажмите кнопку "ОК", а затем в области сведений прокрутите вправо и убедитесь, что последний выданный пользователю сертификат имеет значение "Да" в столбце "Архивный ключ".

ПРИМЕЧАНИЕ " xmlns=""> ПРИМЕЧАНИЕ. Шаблон сертификата должен быть изменен таким образом, чтобы были включены атрибуты Бит архивации и Отметить закрытый ключ как экспортируемый. Закрытый ключ можно восстановить только в том случае, если в столбце Заархивированный ключ есть данные.< /p> <р>7. Дважды щелкните сертификат пользователя архива.

<р>8. Перейдите на вкладку "Подробности".

<р>9. Запишите серийный номер сертификата. (Не указывайте интервал между парами цифр.) Это необходимо для восстановления.

Серийный номер представляет собой шестнадцатеричную строку из 20 символов. Серийный номер закрытого ключа совпадает с серийным номером сертификата.

Для целей данного пошагового руководства серийный номер называется серийный номер.

<р>10. Нажмите "ОК".

<р>11. Закрыть центр сертификации.

Чтобы восстановить закрытый ключ в выходной файл BLOB с помощью certutil.exe:
<р>1. В командной строке введите cd \ и нажмите Enter.

<р>2. Убедитесь, что вы находитесь в каталоге c:\.

<р>3. В командной строке введите:

<р>4. В командной строке введите dir outputblob

Чтобы восстановить исходную пару закрытый/открытый ключ с помощью Certutil.exe:
<р>1. В командной строке введите:

<р>2. При появлении запроса введите следующую информацию:

а. Введите новый пароль: пароль

б. Подтвердите новый пароль: пароль

<р>в. Введите выход и нажмите клавишу ВВОД.

<р>3. Закройте все окна и выйдите из системы как текущий пользователь.

Задача 2. Импорт восстановленного закрытого ключа

Восстановление восстановленного закрытого ключа в хранилище сертификатов пользователей путем импорта файла .pfx.

Чтобы войти в систему как пользователь и запустить сертификаты mmc:
<р>1. Войдите в систему как пользователь.

<р>2. На панели задач нажмите кнопку "Пуск" и выберите "Выполнить".

<р>3. В поле «Выполнить» введите mmc и нажмите «ОК».

<р>4. В меню "Файл" выберите "Добавить/удалить оснастку".

<р>5. В разделе "Добавить/удалить оснастку" нажмите "Добавить".

<р>6. В разделе «Добавить автономную оснастку» нажмите «Сертификаты», нажмите «Добавить», затем нажмите «Закрыть» и «ОК».

Чтобы удалить все сертификаты, выданные ЦС для имитации переустановленного компьютера:
<р>1. Щелкните правой кнопкой мыши Сертификаты — Текущий пользователь и выберите Найти сертификаты.

<р>2. В разделе «Найти сертификаты» в поле «Содержит» введите ЦС и нажмите «Найти сейчас».

<р>3. В меню "Правка" нажмите "Выбрать все".

<р>4. В меню "Файл" нажмите "Удалить".

<р>5. В разделе Сертификаты нажмите Да.

<р>6. В хранилище корневых сертификатов нажмите Да.

<р>7. Закрыть Поиск сертификатов.

Чтобы импортировать сертификат в папку c:\ .pfx и разрешить размещение сертификатов автоматически:
<р>1. В дереве консоли щелкните правой кнопкой мыши "Личные", затем выберите "Все задачи" и нажмите "Импорт".

<р>2. В мастере импорта сертификатов нажмите "Далее".

<р>3. В разделе «Файлы для импорта» в поле «Имя файла» введите c:\ .pfx и нажмите «Далее».

<р>4. В поле «Пароль» введите пароль и нажмите «Далее».

<р>5. В хранилище сертификатов нажмите «Автоматически выбирать хранилище сертификатов в зависимости от типа сертификата», а затем нажмите «Далее».

<р>6. По завершении работы мастера импорта сертификатов нажмите «Готово».

<р>7. Если появится диалоговое окно Хранилище корневых сертификатов, нажмите Да.

<р>8. В окне "Импорт мастера сертификатов" нажмите "ОК".

Импортировано два сертификата. Сертификат пользователя архива для пользователя находится в хранилище личных сертификатов, а сертификат ЦС — в хранилище доверенных корневых центров сертификации.

Чтобы проверить серийный номер импортированного сертификата:
<р>1. В дереве консоли дважды щелкните Личные, а затем щелкните Сертификаты.

<р>2. Дважды щелкните сертификат.

<р>3. В Сертификате щелкните вкладку Подробности. Убедитесь, что серийный номер совпадает с оригинальным.

<р>4. Закройте все открытые окна и выйдите из системы.


Портал поддержки клиентов

SafeNet ProtectToolkit 5.5 Документация по продукту 08 января 2020 г. Copyright 2009-2020 Gemalto . Все права защищены.

Восстановление ключа можно использовать для повторного использования или восстановления закрытого ключа пользователя. Восстановление ключа означает, что сгенерированные сервером ключи (и сертификат) пользователя хранятся в зашифрованном виде в базе данных ЦС. Цель этого состоит в том, чтобы иметь возможность восстановить ключ шифрования, если пользователь потеряет ключ. Без возможности восстановления ключа зашифрованные данные будут потеряны навсегда, если ключ шифрования будет утерян. Восстановление ключа следует использовать только для ключей шифрования, а не для ключей аутентификации или подписи, если такой необходимости в восстановлении нет.

Чтобы включить восстановление ключа с помощью пользовательского интерфейса ЦС:

  1. Установите параметр «Включить восстановление ключа» в конфигурации системы.
  2. Создайте новый профиль конечного объекта и выберите использование для восстановления ключа.
  3. Добавить пользователей с этим профилем конечного объекта. Используйте тип хранилища ключей, отличный от созданного пользователем, например P12, и выберите Key Recoverable.
  4. Зарегистрируйте пользователя с помощью Create keystore в Public Web или RA Web. Пара закрытый и открытый ключ теперь генерируется ЦС, шифруется и хранится в базе данных ЦС (таблица KeyRecoveryData).

Если флажок Повторно использовать старый сертификат в профиле конечного объекта не установлен (по умолчанию), новый сертификат создается для конечного объекта с использованием восстановленного закрытого ключа и возвращается в хранилище ключей. Если установлен флажок Повторно использовать старый сертификат, старый сертификат (возможно, с истекшим сроком действия) будет возвращен в хранилище ключей.

Обратите внимание, что восстановление ключа нельзя использовать с «сгенерированными пользователем» ключами, поскольку в этом случае ЦС не имеет доступа к закрытому ключу и, следовательно, не может его сохранить.

Создать новый сертификат

Ниже приведен пример последовательности команд, используемых для создания нового сертификата для пользователя с использованием той же пары ключей, если ключ и сертификат были сгенерированы с возможностью восстановления ключа, как описано выше:

  • Отметьте сгенерированный сертификат для восстановления ключа:
  • Установите открытый текстовый пароль для пакетного сеанса:

Вы также можете создать новый сертификат с помощью пользовательского интерфейса ЦС и общедоступного веб-сайта или графического интерфейса RA в браузере.

Использование пользовательского интерфейса RA:

  • Интерфейс RA > Поиск > Сертификаты > Просмотр (для определенного сертификата).
  • Пользовательский интерфейс RA → Восстановить ключ → Введите новый код регистрации → Подтвердить запрос.
  • Пользовательский интерфейс RA → Зарегистрироваться → Использовать имя пользователя → Введите имя пользователя и пароль → Получить P12 / JKS / PEM.
  • При необходимости можно использовать Зарегистрировать → Идентификатор запроса, если операция требует утверждения.

Использование пользовательского интерфейса ЦС и общедоступного веб-сайта:

  • Пользовательский интерфейс CA → Список/редактирование конечных объектов → View_Certificates для пользователя → Восстановить ключ и нажмите «Закрыть».
  • Пользовательский интерфейс CA → Список/редактирование конечных объектов → Edit_End_Entity для пользователя → Введите новый пароль для пользователя и нажмите «Сохранить» (статус пользователя теперь должен быть «Восстановление ключа»)
  • Общедоступная сеть → Создать хранилище ключей → Введите имя пользователя и пароль > Получить хранилище ключей.

Использование WS API:

  • Восстановление ключа
  • редактировать пользователя
  • pkcs12Req

или, объединив его в одну команду:

Автоматически сгенерированные пароли

Вы можете использовать автоматически сгенерированные пароли для конечных объектов, поэтому при регистрации нового сертификата/хранилища ключей и восстановлении старого хранилища ключей пользователю отправляется автоматически сгенерированный пароль по электронной почте.

Чтобы включить автоматическое создание паролей:

  1. Включите параметр «Создано автоматически» в разделе «Редактировать профиль конечного объекта» → «Пароль (или код регистрации)» → «Создано автоматически».
  2. Добавьте уведомление для STATUSNEW и STATUSKEYRECOVERY в разделе «Редактировать профиль конечного объекта» → «Уведомления» → «События уведомлений».

Обратите внимание, что вы должны убедиться, что уведомления по электронной почте работают, чтобы использовать функцию автоматического создания паролей.

Генерация локального ключа

В системах с распределенными RA, использующими восстановление ключей, может быть желательно хранить пары ключей, используемые для восстановления, в базе данных, принадлежащей другому экземпляру, а не ЦС. При локальной генерации ключей ключи хранятся в базе данных ЦС и шифруются с помощью крипто-токена (например, из HSM) в ЦС, поэтому материал ключа недоступен для операторов ЦС (при условии, что им запрещено регистрировать в РА). Однако сертификаты и конечные объекты остаются в центре сертификации, и ими можно управлять (например, отзывать) оттуда.

Чтобы активировать генерацию локального ключа, необходимо выполнить следующие шаги (это выполняется на RA, который должен хранить данные восстановления ключа):

  • В разделе «Конфигурация системы» установите флажок «Включить восстановление ключа и принудительное создание локального ключа».
  • Выберите токен шифрования, который будет использоваться для шифрования пар ключей (данных восстановления ключей).
  • Выберите нужный ключ для шифрования.

Записи данных восстановления, относящиеся к сертификатам, зарегистрированным до включения генерации локального ключа, останутся в исходной базе данных. Включение локального создания ключей не меняет способ восстановления ключей администратором, а также рабочий процесс утверждений или требуемые правила доступа. Имейте в виду, что роль, управляющая одноранговым соединителем, требует (как минимум) доступа к тому же набору правил, что и администратор внешнего RA (например, для выполнения восстановления ключа). Поскольку эта функция предназначена для того, чтобы материал ключа был недоступен из центра сертификации путем создания и хранения пары ключей в локальном экземпляре, невозможно использовать генерацию локального ключа в сочетании с автоматически сгенерированными паролями конечных объектов (генерируемыми центром сертификации) .

Технические детали

Операция bin/ejbca.sh ra keyrecovernewest , опция восстановления ключа в пользовательском интерфейсе ЦС и keyRecoverNewest в API WS помечают пользователя/сертификат для восстановления ключа. Это означает, что в следующий раз, когда вы сделаете вызов для создания хранилища ключей (p12/jks/pem) для пользователя, ЦС получит закрытый ключ, хранящийся в зашифрованном виде в базе данных восстановления, и существующий сертификат пользователя или новый сертификат, а также создайте хранилище ключей для пользователя с этой старой парой ключей. Фактическое восстановление произойдет тогда, когда вы сделаете вызов, например, pkcs12Req в WS API, или если тип хранилища ключей — P12, JKS или PEM в пользовательском интерфейсе CA.

Ключи хранятся в базе данных в таблице KeyRecoveryData. Данные хранятся в зашифрованном виде в сообщении CMS в виде сериализованной пары ключей Java. Сертификат хранится не в KeyRecoveryData, а только в CertificateData. Ключ шифрования, используемый для шифрования сообщений CMS, представляет собой «keyEncryptKey» выдающего ЦС и, таким образом, может быть ключом на HSM. Фактическое шифрование данных CMS выполняется с помощью AES256_CBC с использованием случайно сгенерированного ключа AES (для этого конкретного сообщения CM). Ключ AES упакован с использованием ключа RSA в keyEncryptKey. Это полностью соответствует лучшим практикам, открытому, стабильному стандарту CMS.

В таблице KeyRecoveryData есть дополнительные столбцы, позволяющие изменить keyEncryptKey выдающего ЦС. Столбцы cryptoTokenId и keyAlias ​​дают точный указатель на Crypto Token и конкретный ключ, используемый для шифрования данных. При расшифровке данных этот конкретный ключ с этим псевдонимом в криптографическом токене ЦС сначала пробуется, и только в случае неудачи пробуется «keyEncryptKey» ЦС. Кроме того, идентификатор открытого ключа (который также существует в CertificateData) открытого ключа, используемого для шифрования данных, хранится в столбце publicKeyId. Это означает, что даже если ключи изменились, можно определить точный открытый ключ, используемый для расшифровки данных.

Аналогично столбец serialNumber таблицы KeyRecoveryData соответствует столбцу serialNumber в таблице CertificateData.

Импорт данных восстановления ключей из внешних источников

Возможно импортировать данные восстановления ключа из внешнего источника, что может быть очень полезно при переходе на EJBCA из другого продукта PKI.

Импорт данных для восстановления ключа выполняется из командной строки, которая предоставляет интерактивную справку.

Итак, вы потеряли свои закрытые ключи. Какой?

Потеря закрытых ключей может стать кошмаром для владельца кошелька с блокчейном. Вот что вы можете сделать, если это произойдет, и как предотвратить это в первую очередь.

Что делать, если вы потеряли свой закрытый ключ

Утерянные закрытые ключи — это кошмарный сценарий в блокчейне, лишающий вас возможности импортировать или восстанавливать свой кошелек на новых устройствах или программных кошельках.

Мы хотели бы сказать вам, что когда вы теряете закрытый ключ к вашему блокчейн-адресу или криптокошельку, восстановить его и легко восстановить доступ к своим средствам можно легко и просто...

Мы бы хотели вам это сказать, но безопасность с закрытым ключом — не сказочный мир.

Что делать, если вы потеряли свой закрытый ключ(и)?

Доступные вам действия зависят от того, сколько/что вы потеряли.


Если у вас есть устройство и PIN-код

Если вы потеряли закрытый ключ, но сохранили аппаратный кошелек и помните PIN-код, надежда еще есть. Перенесите свою криптовалюту из аппаратного кошелька на адрес (или адреса) блокчейна, к которому у вас ДЕЙСТВИТЕЛЬНО хранится закрытый ключ.

Обратите внимание, что это может быть длительным процессом. Хотя аппаратные кошельки могут хранить несколько криптовалют из разных блокчейнов в одном месте, вам необходимо убедиться, что вы не отправляете ни одну из своих криптовалют на адреса в разных блокчейнах (т. е. вы не можете отправлять токены ERC-20 на адрес BTC). или BTC на адрес NANO).

Если вы потеряли исходные слова и устройство/PIN-код

Если вы потеряли исходные слова И код устройства или PIN-код, у вас есть несколько вариантов (примечание: мы никогда не говорили, что это хорошие варианты).

Вы можете найти себе красивое удобное одеяло, закутаться в него и хорошенько всхлипнуть. Мы все делаем ошибки; плакать не стыдно.

Вы можете использовать время, ранее посвященное блокчейну и криптовалюте, чтобы стать волонтером в сообществе, начать заниматься спортом или найти новое хобби. Вязание сейчас очень в моде.

Если вы специально потеряли закрытый ключ И забыли PIN-код своего аппаратного кошелька, вы можете:

  • Исследуйте форумы хакеров в невероятно маловероятных надеждах на то, что есть какой-то временный, еще не исправленный взлом, требующий физического владения устройством, который научит вас искусству паяния и реконструкции устройства в обмен на огромную плату в криптовалюте, и просто надеюсь, что вы не упускайте свой единственный шанс выполнить их совет
  • С потными ладонями и трясущимися руками вы каким-то образом преуспели, завязав маловероятную дружбу с хакером, который в конечном итоге был выбран крупной голливудской студией, а затем переоснащен в комедийный боевик под названием The 7 Deadly PINs. .

Или вы можете принять базовые разумные меры безопасности, чтобы предотвратить потерю закрытого ключа.

Базовая безопасность закрытого ключа

Если речь идет о максимальной безопасности блокчейн-кошелька, приобретение аппаратного кошелька — это только полдела. Вот что еще вы можете (и должны) сделать.

Запись: тщательно скопируйте свой закрытый ключ или, что предпочтительнее, мнемоническую фразу от руки в автономном режиме! Хранение его в электронном виде или в Интернете может привести к раскрытию вашего закрытого ключа. Надежная старая ручка и бумага всегда являются самым безопасным выбором с закрытыми ключами, а для более длительного спокойствия используйте перманентные чернила и бескислотную бумагу.

Подтвердить: отправьте только небольшое количество криптовалюты на сгенерированный адрес перед удалением учетной записи с вашего устройства, а затем импортируйте на то же устройство, используя записанные закрытые ключи, чтобы убедиться, что вы скопировали правильно.

Копировать: после того, как вы подтвердите, что правильно скопировали свой закрытый ключ (например, восстановив тот же кошелек, на который вы ранее отправили небольшое количество криптовалюты), сделайте дополнительные копии своего закрытого ключа/начальных слов, чтобы скрыть их. в разных местах, чтобы такие события, как стихийные бедствия, не угрожали потерей доступа к закрытым ключам.

Скрыть: скрыть копии вашего закрытого ключа в разных местах. Если вы изо всех сил пытаетесь придумать надежное место, ознакомьтесь с нашим руководством о том, где спрятать аппаратный кошелек, чтобы получить вдохновение.

Ламинат: для дополнительной уверенности рекомендуется ламинирование/запечатывание и защита бумаги от воздействия прямых солнечных лучей, чтобы избежать ухудшения состояния окружающей среды или обесцвечивания.

Используйте собственную бумагу. Хотя все компании, выпускающие аппаратные кошельки, предоставляют карты, на которых вы можете записать свой закрытый ключ, может быть целесообразно скопировать свой на карту или бумагу без торговой марки, чтобы избежать прямой ссылки на криптовалюту в списке. .

Перейти к металлу. Если вы готовы инвестировать немного больше в безопасность своего закрытого ключа, вы можете отказаться от бумаги и рассмотреть альтернативы, такие как Cryptosteel или Billfodl, которые хранят исходные слова на металлических листах, устойчивых к огню и экстремальным условиям. условия.

В этой базе знаний мы покажем вам, как восстановить закрытый ключ для сертификата Smime на платформе DigiCert PKI версии 8.

<р>2. Войдите в систему с правильными учетными данными


<р>3. В главном окне профиля нажмите значок "Управление профилями сертификатов", чтобы просмотреть список доступных профилей сертификатов


<р>4. Найдите имя своего сертификата «защищенной электронной почты» (если вы знаете имя, перейдите к шагу 5)

<р>5. Нажмите на значок "Управление пользователями" в центре консоли администратора


<р>6. В разделе "Операции поиска" выберите "Зарегистрирован", найдите имя своего сертификата

<р>7. В разделе "Поиск по" выберите "имя" или другие критерии, которые вам нужны

<р>8. Нажмите кнопку "Поиск"


<р>9. Найдите своего пользователя в списке отображаемых пользователей и щелкните имя пользователя (это отобразит информацию о пользователе справа)

<р>10. В правом окне прокрутите до поля "Сертификаты" и найдите сертификат с искомым именем пользователя и "Сертификат защищенной электронной почты" под именем

<р>11. Нажмите на соответствующую ссылку «Скачать сертификат»


*В зависимости от возраста учетной записи вам может потребоваться загрузить несколько сертификатов, чтобы найти нужный.

Нужно восстановить закрытый ключ?

Вы можете восстановить свой закрытый ключ, используя меню «Управление сертификатами», выберите соответствующую учетную запись и щелкните свой сертификат, при этом отобразятся три варианта:

  • "Отозвать сертификат"
  • "Восстановить закрытый ключ"
  • "Скачать сертификат"


При нажатии на ссылку "Восстановить сертификат" появится всплывающее окно с "паролем закрытого ключа" и возможностью загрузки сертификата.


Вы также можете отозвать сертификат из этого меню и выбрать причину отзыва.

Читайте также: