Compartilhar via


Servidor de Recuperação de Chaves

Uma autoridade de certificação (CA) da Microsoft pode ser configurada para arquivar e recuperar a chave privada associada à chave pública enviada na solicitação de certificado. A recuperação é útil se uma chave for perdida. Por padrão, somente chaves de criptografia podem ser arquivadas. Não é necessário arquivar chaves destinadas apenas à assinatura, pois apenas a chave pública é necessária para verificar uma assinatura se a chave de assinatura privada for perdida.

Para arquivar uma chave, a autoridade de certificação deve ser configurada para emitir certificados de agente de recuperação de chaves (KRA) e já ter emitido pelo menos um. Um agente de recuperação de chave é um administrador autorizado por uma organização a descriptografar chaves privadas. Para aumentar a segurança, recomendamos que o agente de recuperação de chaves e as funções do gerenciador de certificados sejam atribuídos a indivíduos diferentes, que o gerenciador de certificados tenha permissão para recuperar, mas não descriptografar, chaves arquivadas e que o agente de recuperação de chaves tenha permissão para descriptografar chaves, mas não recuperá-las.

Arquivamento de chaves

Um cliente normalmente solicita um certificado usando um modelo. Se o modelo exigir que a chave privada seja arquivada, as seguintes etapas serão executadas pelo cliente e pela autoridade de certificação:

  1. O cliente recupera e valida o certificado de troca de CA para determinar se ele foi assinado pela mesma chave que foi usada para assinar o certificado de autenticação de CA. Isso garante que a única autoridade de certificação que pode descriptografar a chave privada seja a autoridade de certificação da qual um certificado está sendo solicitado.
  2. A chave pública no certificado de troca de CA é usada para criptografar a chave privada associada à solicitação de certificado e a solicitação é enviada à CA.
  3. A CA usa a chave privada associada ao seu certificado de troca para descriptografar a chave privada enviada pelo cliente e verifica se as chaves pública e privada na solicitação estão relacionadas.
  4. A CA criptografa a chave privada usando a chave pública no certificado KRA. Se a autoridade de certificação tiver emitido vários certificados KRA, ela criptografará a chave privada uma vez com cada chave pública disponível para que qualquer agente de recuperação de chave autorizado possa recuperar uma chave. As chaves privadas criptografadas são armazenadas no banco de dados de certificados.
  5. A CA libera todas as referências à chave privada e libera e zera com segurança toda a memória que continha a chave. Isso garante que a autoridade de certificação não tenha mais acesso à chave em formato de texto não criptografado.

Observação

Somente uma solicitação CMC pode ser usada para arquivamento de chaves. As solicitações CMC são representadas pela interface IX509CertificateRequestCmc .

 

Recuperação de chave

A recuperação de chaves não é suportada diretamente pelos Serviços de Certificados do Active Directory ou pela API de Registro de Certificados. No entanto, a Microsoft fornece os seguintes aplicativos para ajudar no processo:

  • Certutil.exe é um programa de linha de comando que pode ser usado para recuperar informações de configuração da CA, verificar certificados, pares de chaves e cadeias de certificados e fazer backup e restaurar chaves. Ele está incluído nos sistemas operacionais de servidor a partir do Windows Server 2003.
  • Krecover.exe é um programa baseado em caixa de diálogo que permite a recuperação de chaves. Ele está incluído no Resource Kit a partir do Windows Server 2003.

As seguintes etapas são executadas para recuperar uma chave privada:

  1. O gerenciador de certificados localiza possíveis candidatos para recuperação de chaves no banco de dados de certificados usando o nome do certificado, solicitante ou usuário. O comando Certutil -getkey pode ser usado para essa finalidade.
  2. Depois que o gerenciador de certificados tiver uma lista de certificados, o comando -getkey será chamado novamente com um número de série de certificado específico ou impressão digital para recuperar um arquivo PKCS #7 que contém o certificado KRA, a cadeia de certificados do usuário e a chave privada que foi criptografada durante o arquivamento usando a chave pública KRA.
  3. O gerenciador de certificados passa o controle do processo para o agente de recuperação de chaves cuja chave privada corresponde à chave pública contida no certificado KRA.
  4. O agente de recuperação de chave descriptografa a chave privada arquivada retornada no arquivo PKCS #7 usando a chave privada KRA. Isso pode ser feito usando o comando Certutil -recoverkey , que coloca a chave em um arquivo PKCS #12 protegido por senha. O cliente deve receber a senha por meio de um mecanismo seguro fora de banda.
  5. O cliente importa o arquivo PKCS #12 e usa a senha para recuperar a chave.

Elementos PKI