Oporavak sertifikata ili ključa je jedan od najvažnijim upravljačkih zadataka u Sertificate Life Cycle-u. Key Archival & Recovery Agent se koriste za oporavak podataka kada se dogodi da korisnik izgubi javni ili privatni ključ. Administrator takođe može da koristi automatski ili ručni Key Archival i metode za oporavak ključeva (Key Recovery Methods) da bi osigurao da može da pristupi podacima u slučaju da su ključevi izgubljeni.
Važnost Key Archival & Recovery
Kada izgubimo javne ili privatne ključeve, nećemo biti u mogućnosti da pristupimo bilo kojim šifrovanim podacima koji su šifrovani koristeći javni ključ sertifikata, koji uključuje Encrypting File System (EFS) & Secure-Multipurpose Internet Mail Extension (S-MIME). Iz tog razloga, Archival & Recovery javih i privatnih ključeva je veoma važno.
Uslovi gubitka ključeva: Možemo da izgubimo par ključeva pod sledećim okolnostima:
-
Korisnički profil je obrisan ili je korumpiran: CSP šifruje privatni ključ i smešta ga u lokalni fajl sistem i redžstri unutar korisničkog Profile foldera. Šifrovani privatni ključ je smešten u lokalni fajl sistem i redžistri unutar korisničkog Profile foldera. Slučaj brisanja ili korupcije profila rezultuje gubitkom privatnog ključa.
-
Reinstalacija operativnog sistema: Kada reinstaliramo operativni sistem, ranije instalacije korisničkog profila su izgubljene, uključujući privatni ključ.
-
Disk je korumpiran: Ako se dogodi da hard disk na kompjuteru bude korumpiran i ako je korisnički profil nedostupan, privatni ključ će biti automatski izgubljen.
-
Kompjuter je ukraden: Ako je korisnikov kompjuter ukraden, korisnički profil sa privatnim ključem će biti nedostupan.
Key Archival & Recovery Agent
Key Archival & Recovery Agent se koriste za oporavak podataka. Administrator može da osigura da CA ddministratori mogu da oporave privatne ključeve samo ako su prethodno arhivirani (Archiving). KRAs su u mogućnosti da dobiju originalni sertifikat, privatni ključ i javni ključ koji je korišćen prilikom šifrovanja podataka u CA bazi podataka.
Kada omogućimo Key Archival u Version 2 šablonu sertifikata, CA šifruje i smešta privatni ključ u svoju bazu podataka.
U slučaju da je CA smestio subjektov privatni ključ u CA bazu podataka, administrator će moći da iskoristi Key Recovery za oporavak korumpiranog ili izgubljenog ključa.
U toku procesa oporavka ključa, Certificate Manager oporavlja šifrovani fajl koji sadrži sertifikat i privatni ključ iz CA baze podataka. Nakon toga, KRA dešifruje privatni ključ iz šifrovanog fajla i vraća sertifikat i privatni ključ korisniku.
Sigurnost za Key Archival
Kada imate konfigurisani CA koji iznajmljuje KRA sertifikate, svaki korisnik sa Read & Enroll dozvolama na KRA šablonu sertifikata može da odradi Enroll i može da postane KRA. Domain i Enterprise administratori dobijaju automatski (po defoltu) ovu dozvolu.
Administrator mora da osigura:
-
Da samo je poverljivim korisnicima dodeljena dozvola Enroll za taj sertifikat.
-
Da je KRA Recovery ključ smešten na sigurno mesto.
-
Da je server sa kojeg su arhivirani ključevi siguran i zaštićen.
Ručno eksportovanje sertifikata i privatnih ključeva
Ručno arhiviranje ključeva je jedan od metoda koji se koriste za oporavak podataka. Ovaj metod je podržan u AD CS kao odvojena operacija od Enrollmenta dok u isto vreme nudi centralizovano arhiviranje ključeva. Procedura za ručno eksportovanje privatnih ključeva za Windows klijente je korisna jer privatni ključevi mogu ručno da se arhiviraju na CA. Ovo je posebno korisno za korisnike koji su iznajmili sertifikate koristeći CAs drugih proizvođača koji ne podržavaju arhiviranje ključeva.
Možemo da eksportujemo ključeve i sertifikate koristeći sledeća tri metoda:
- Public-Key Cryptography Standards (PKCS) #12 (*.pfx file) eksportovanje iz Certificates MMC Snap-in-a na Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server Longhorn.
- PKCS #12 (*.pfx file) eksportovanje iz Outlook 2003 ili 2007 Clienta.
- *-epf format fajla iz Outlook 2000 ili Outlook 2002 klijenta.
Konfiguracija automatskog arhiviranja ključeva (Key Archival)
Koraci za konfiguraciju Automatic Key Archival su:
-
Konfiguracija šablona sertifikata (sertifikati mogu da se instaliraju u aktivnom direktorijumu po defoltu)
Opis:
Administrator treba da instalira i nadogradi šablone sertifikata u Windows Server 2008 ili Windows Server 2003.
Samo Enterprise ili Domain administratori mogu da zahtevaju KRA sertifikat. Ovo je zbog toga što su, po defoltu, oni konfigurisani sa Enroll dozvolom u šablonu sertifikata.
-
Konfiguracija menadžera sertifikata
-
CA zahteva konfiguracije osobe koja bi trebalo da bude Certificate Manager. Certificate Manager drži privatni ključ za validaciju KRA sertifikata. Potrebno je razdvojiti ove dve uloge.
-
Po defoltu, CA administrator je Certificate Manager za sve korisnike, osim u slučaju drugih eksplicitnih definicija.
-
KRA ne mora da bude CA Officer ili CA Manager. Ove uloge mogu da se odvoje. KRA je osoba koja poseduje privatni ključ za validaciju KRA sertifikata.
-
CA Officer je definisan kao Certificate Manager koji poseduje sigurnosne dozvole da dodeljuje i upravlja sertifikatima. Sigurnosne dozvole su konfigurisane na CA koristeći Security karticu u CA Properties dijalog boksu u Certification Authority MMC Snap-in -u.
-
Omogućavanje KRA
-
Ulogovati se kao administrator servera ili kao CA administrator ako je Role Separation omogućen.
-
Na Administrative Tools meniju, klik na Certification Authority i selektovati CA.
-
Desni klik na CA ime, klik na Properties, klik na Recovery Agents karticu i zatim klik na Archive the key, da bi se omogućilo Key Archival.
-
Po defoltu CA koristi jedan KRA. Ipak, administrator mora prvo da selektuje KRA sertifikat za CA da bi započeo Archival klikom na Add.
-
Sistem pronalazi validni KRA sertifikat i prikazuje dostupne KRA sertifikate. Oni su generalno objavljeni u aktivnom direktorijumu preko Enterprise CA u toku Enrollment-a. KRA sertifikati su smešteni ispod KRA kontejnera u Public Key Services Branch konfiguracione particije u aktivnom direktorijumu. Kada CA iznajmi više KRA sertifikata, svaki KRA sertifikat će biti dodat u Multi-valued User Attribute CA objekta.
- Selektovati jedan sertifikat i klik na OK. Osigurati da imate selektovan Intended Certificate.
- Nakon dodavanja jednog ili više KRA sertifikata, klik na OK. KRA sertifikati se procesuiraju nakon startovanja servisa.
- Konfiguracija korisničkog šablona
- U Certificate Templates MMC-u, selektovati Archive Subjects Encryption Private Key boks da: Allways enforce key archival for the CA. U Windows Server 2008 CAs, selektujte Use Advanced Symmetric Algorithm da bi poslali ključ ka CA Option-u.
Oporavak izgubljenog ključa
-
Pronalaženje kandidata za oporavak: Administratoru će biti potrebne dve informacije da bi mogao da odradi oporavak ključa. Prvo, Certificate Manager ili CA administrator mora da locira tačan zapis sertifikata u CA bazi podataka. Nakon toga, Certificate Manager ili CA administrator dobija serial number (serijski broj) tačnog zapisa sertifikata i KRA sertifikat koji je potreban za oporavak ključa.
-
Dobijanje PKCS #7 BLOB iz baze podataka: Ovo je prva polovina u koraku oporavka ključa. Certificate Manager ili CA Administrator dobija tačan Binary Large Object (BLOB) iz CA baze podataka. Sertifikat i šifrovani privatni ključ koji trebaju da budu oporavljani, nalaze se u PKCS #7 BLOB-u.
-
Oporavak ključa i snimanje PKCS #12 (.pfx): Ovo je druga polovina u oporavku ključa. Onaj koji poseduje KRA privatni ključ, dešifruje privatni ključ koji treba da bude oporavljan. Kao dodatak, subjekat koji poseduje KRA privatni ključ (KRA Holder) generiše password-protected .pfx fajl koji sadrži sertifikat i privatni ključ.
-
Importovanje oporavljenih ključeva: password-protected .pfx fajl je isporučen krajnjem korisniku. Ovaj korisnik treba da importuje .pfx fajl u Local Users Certificate Store. Kao alternativa, KRA ili administrator mogu da odrade ovaj deo procedure umesto korisnika.
