Khi user mất chứng chỉ số( Key) họ sẽ không thể nào giải mã được những dữ liệu đã mã hóa, vì vậy cần cấu hình Key Recovery Agent để khi user vô tình làm mất Key thì người quản trị (Administrator) sẽ có khả năng cứu lại key.
Cấu hình Key Recovery Agent được thực hiện trên máy CA server, cụ thể trong mô hình này là DC-CA.technet.com.vn.
Bước 1: Phát hành các chứng chỉ số mẫu dùng cho việc cấu hình Key Recovery Agent:
Trên máy DC-CA.technet.com.vn mở dịch vụ Certificate Authority, kích phải chuột vào mục Certificate Templates chọn Manage:
Trong cửa sổ cấu hình Certificate Templates, chuột phải vào chứng chỉ mẫu có tên User và chọn Duplicate Template:
Trong cửa sổ Properties of New Template, trong tab General, trong ô Template display name: điền User(backupkey) rồi nhấn Apply:
Qua tab Security, chọn nhóm Domain Users, cho các quyền Read, Enroll và Autoenroll
Qua tab Request Handing, tích vào option Archive subject’s encryption private key, nhấn
Đóng cửa sổ cấu hình Certificate Templates lại, kích phải chuột vào Certificate Templates
Trong cửa sổ Enable Certificate Templates, chọn 2 Certificate có tên Key Recovery Agent
và User(backupkey) vừa tạo, nhấn OK:
Bước 2: Xin Chứng chỉ số theo loại Key Recovery Agent cho Administrator:
Trên máy DC, mở trình duyệt Internet Explorer, gõ http://192.168.1.1/certsrv và đăng nhập tài khoản administrator khi được hỏi:
Chọn Create and submit a request to this CA:
Certificate thuộc loại Key Recovery Agent phải được người quản trị hệ thống phát hành thủ công, mặc định hệ thống không cho user tự động xin. Vì vậy chúng ta sẽ lưu lại Certificate Request ID để vào dịch vụ CA phát hành nó. Ở đây, Request ID là 9:
Mở dịch vụ Certificate Authority trên máy DC-CA.technet.com.vn, vào mục Pending Requests, chọn Certificate có RequestID là 9, kích chuột phải vào nó chọn All
Tasks/Issue:
Mở Internet Explorer và gõ 192.168.1.1/certsrv, chọn View the status of a pending certificate request:
Và sẽ thấy 1 chứng chỉ số theo loại Key Recovery Agent đã được administrator phát hành thủ công, kích chuột vào đó để cài đặt:
Tiếp tục chọn Install this certificate để cài đặt:
Kiểm tra trong MMC Certificate Snap-in đã thấy có 1 chứng chỉ số xin cho Administrator
theo loại Key Recovery Agent, vậy là quá trình xin chứng chỉ số đã thành công.
Tiếp đến, sau khi đã có Chứng chỉ số cấp cho Administrator phục vụ cho việc Recovery key, ta sẽ import Certificate đó vào trong dịch vụ Certificate Authority trên máy DC-
CA.technet.com.vn.
Trong cửa sổ technet Properties, qua tab Recovery Agents, chọn Archive the key và nhấn nút Add…:
Nhấn Apply, hệ thống yêu cầu khởi động lại dịch vụ CA, nhấn Yes để đồng ý:
Sau khi Restart dịch vụ CA, ta thấy Certificate trong mục Key recovery agent certificates: không còn báo đỏ nữa. OK để đóng lại.
Bước 3: Xin chứng chỉ số cho User theo loại chứng chỉ số có thể khôi phục được:
Trên máy PC01.technet.com.vn đang logon với tài khoản u1, mở Webcert để xin certificate mới, làm tương tự các ở phần mã hóa mail, lưu ý bước này:
Trong mục Certificate Template chọn User(backupkey) rồi nhấn Submit>:
Bước 4: Khôi phục Certificate khi bị mất:
Trên máy DC-CA.technet.com.vn, trong dịch vụ CA, sau khi u1 đã xin certificate theo loại User(backupkey) ở bước 3, ta thấy đã xuất hiện một chứng chỉ số trong mục Issued
Certificates được cấp cho u1 theo loại User(backupkey).
Khi khôi phục chúng ta sẽ dùng các thông số trong chứng chỉ này để khôi phục nó. Để xem thông tin chi tiết về chứng chỉ này hãy kích đúp vào nó.
dán vào notepad rồi xóa khoảng trắng giữa các kí tự:
Tiếp tục gõ lệnh Certutil–getkey <gõ đoạn code trong file text vào đây> u1 rồi enter:
Gõ tiếp câu lệnh certutil –recoverkey u1 u1.pfx, khi được yêu cầu đặt mật khẩu mới hãy điền 123 rồi enter, gõ lại mật khẩu 1 lần nữa 123 rồi enter:
Khi u1 mất certificate, người quản trị hệ sẽ đưa file u1.pfx này cho u1 để import vào.( các bước Import Certificate đã nói ở phần I).