Архивирование и восстановление ключей

В этой статье пойдет речь о том, как настроить хранилище сертификатов в Windows 2003 Enterprise для архивирования и восстановления ключей (сертификатов) для шифрования электронной почты.

Начиная с версии Windows 2003 Server, компания Microsoft усовершенствовала собственное PKI-решение (Инфраструктуру открытых ключей), дополнив ее следующими возможностями:

Архивирование и восстановление ключей
Разделение ролей
Квалифицированная подчиненность
Версия 2 шаблонов сертификатов

Для получения всех нововведений необходимо приобрести Windows Server 2003 Enterprise, так как стандартная версия этой системы не обладает всеми указанными возможностями.

Одно из главных усовершенствований — архивирование и восстановление ключей. С его помощью любой сертификат (закрытый ключ), выданный хранилищем сертификатов Windows 2003 Enterprise, будет там заархивирован. Архивирование ключей невозможно для сертификатов, выданных только для подписи электронных писем.

В этой статье мы «выдадим» сертификат пользователю MSEXCHANGEORG и вообразим, что пользователь потерял свой почтовый сертификат. Затем с помощью Агента по восстановлению ключей (KRA) и утилиты KRT.EXE из Windows Server 2003 Resource Kit мы его восстановим.

В статье представлен только общий обзор всего процесса.

Архивирование и восстановление ключей требует выполнения следующих шагов:

Активация Агента по восстановлению ключей (KRA)
Активация функции архивирования ключей хранилища сертификатов (СА)
Выдача почтовых сертификатов пользователям
Восстановление почтовых сертификатов (утилиты KRT и CERTUTIL)

Активация Агента по восстановлению ключей

Прежде всего, необходимо наличие Агента по восстановлению ключей. Агент — высоко доверенное лицо, которое отвечает за восстановление потерянных или поврежденных архивированных сертификатов пользователей.

Мы должны выпустить сертификат Агента для выбранного пользователя. Для этого:

Запустите консоль Windows 2003 CA
Создайте новый шаблон с названием Агент восстановления ключей (Key Recovery Agent)
Запросите данный сертификат для пользователя, который будет выполнять функции Агента.
Поместите сертификат Агента в хранилище (СА) вручную

На рисунке 1 показан сертификат Агента, выданный пользователю с учетной записью Администратор.

Рисунок 1 Выданный сертификат Агента

Важно!
Windows 2003 CA не выдаст автоматически этот сертификат тому пользователю, который его запрашивает. Именно администратор СА должен вручную выписать такой сертификат в консоли ММС.

Активация СА для архивирования ключей

Теперь необходимо активировать СА для архивирования ключей. Запустите консоль ММС для СА и перейдите к свойствам СА — Агенты восстановления

Из-за того, что восстановление ключей — операция, весьма чувствительная к требованиям безопасности, следует определить, сколько Агентов восстановления требуется для архивирования ключей. Нажмите Добавить для импорта сертификата Агента по восстановлению ключей. Затем нажмите ОК и перезапустите службу СА.

Рисунок 2 Активация архивации ключей в СА

Теперь сформируем дубликат шаблона почтовых сертификатов в Windows 2003 CA. Для чего? Дело в том, что шаблон почтовых ключей, установленный по умолчанию не позволяет проводить архивацию личных открытых ключей. Запустите консоль ММС для СА, перейдите на Шаблоны сертификатов, правой кнопкой мыши нажмите Управление — выберите шаблон сертификата пользователя Exchange. Выберите пункт Дублировать и укажите имя нового шаблона. В разделе Обработки запросов поставьте галочку Архивировать персональный ключ шифрования.

Рисунок 3 Активация архивирования ключей в шаблоне сертификата

Теперь новый шаблон сертификата готов к выдаче новых сертификатов и к архивированию ключей.

Рисунок 4 Новый шаблон сертификата

Выдача почтовых сертификатов пользователям

В системе есть возможности автоматической регистрации сертификатов для всех пользователей и компьютеров Службы каталогов и Групповых политик. Автоматическая регистрация требует для работы окружение Службы каталогов в Windows 2003 и клиентов Windows 2003. В нашем случае условимся, что пользователь MSEXCHANGEORG запросит сертификат пользователя Exchange (KeyARC) вручную.

Рисунок 5 Запрос сертификата пользователя Exchange

Восстановление почтовых сертификатов (утилиты KRT и CERTUTIL)

Вообразим, что пользователь MSEXCHANGEORG потерял свой почтовый сертификат и теперь у него отсутствует возможность шифровать новые сообщения и дешифровать имеющиеся. Это большая проблема при отсутствии активированной архивации ключей в Windows 2003 CA.

Давайте рассмотрим простой способ восстановить потерянный сертификат с закрытым ключом.

Существует два пути решения проблемы:

CERTUTIL
KRT.EXE

CERTUTIL

Это встроенный инструмент командной строки, предназначенный для администрирования Windows 2003 CA. У него несколько управляющих ключей для администрирования СА и восстановления ключей.

KRT.EXE

Инструмент восстановления ключей (Key Recovery Tool, KRT.EXE) — новое средство, которое является частью Windows Server 2003 Resource Kit. KRT это графическая оболочка для инструмента CERTUTIL. В качестве примера мы будем рассматривать использование именно KRT.

Чтобы восстановить сертификат необходимо иметь какой-либо уникальный идентификатор. Будем использовать Серийный номер сертификата. Серийный номер можно узнать в разделе Выданные сертификаты консоли ММС для СА. На рисунке 6 показан архивированный ключ для пользователя MSEXCHANGEORG. Чтобы узнать, архивированный ли это сертификат, добавьте в представление столбец Архивированный ключ.

Рисунок 6 Определение серийного номера сертификата

После загрузки и установки утилит Windows 2003 Resource Kit запустите инструмент KRT. Выберите хранилище сертификатов. В качестве критерия поиска укажите Серийный номер сертификата и введите серийный номер восстанавливаемого сертификата. Теперь нажмите Найти, выберите требуемый сертификат из результатов поиска и нажмите Восстановить.

Рисунок 7 Восстановление пользовательского сертификата

Восстановленный сертификат можно сохранить в файле PFX. Имя файла будет состоять из серийного номера сертификата. Рекомендуется переименовать файл сертификата, чтобы его было проще запоминать и отличать от других.

Рисунок 8 Сохранение сертификата

Теперь следует передать сертификат пользователю. Не пользуйтесь электронной почтой для пересылки файлов PFX. Эти файлы содержат закрытые ключи пользователя. Пользователь при получении сертификата может импортировать его простым двойным щелчком мыши.

Заключение

Архивирование ключей — мощное оружие администратора в вопросе сокращения времени на восстановление пользовательских сертификатов. С другой стороны, очень важно обеспечивать безопасность СА (физическую и логическую), предоставляя возможность восстановления ключей только самым доверенным администраторам.