Compartir a través de

Servidor de recuperación de claves

  • Artículo

Una entidad de certificación (CA) de Microsoft se puede configurar para archivar y recuperar la clave privada asociada a la clave pública enviada en la solicitud de certificado. La recuperación es útil si se pierde una clave. De forma predeterminada, solo se pueden archivar las claves de cifrado. No es necesario archivar las claves diseñadas solo para firmar porque solo se necesita la clave pública para comprobar una firma si se pierde la clave de firma privada.

Para archivar una clave, la CA debe estar configurada para emitir certificados de agente de recuperación de claves (KRA) y haber emitido ya al menos uno. Un agente de recuperación de claves es un administrador autorizado por una organización para descifrar claves privadas. Para mejorar la seguridad, recomendamos que los roles de agente de recuperación de claves y gestor de certificados se asignen a personas distintas, que se permita al gestor de certificados recuperar claves archivadas pero no descifrarlas y que se permita al agente de recuperación de claves descifrar claves pero no recuperarlas.

Archivado de claves

Normalmente, un cliente solicita un certificado mediante una plantilla. Si la plantilla requiere que se archive la clave privada, el cliente y la entidad de certificación realizan los pasos siguientes:

  1. El cliente recupera y valida el certificado de intercambio de CA para determinar si ha sido firmado por la misma clave que se usó para firmar el certificado de firma de entidad de certificación. Esto garantiza que la única entidad de certificación que pueda descifrar la clave privada es la CA desde la que se solicita un certificado.
  2. La clave pública del certificado de intercambio de la CA se usa para cifrar la clave privada asociada a la solicitud de certificado y la solicitud se envía a la entidad de certificación.
  3. La entidad de certificación usa la clave privada asociada a su certificado de intercambio para descifrar la clave privada enviada por el cliente y comprueba que las claves públicas y privadas de la solicitud están relacionadas.
  4. La entidad de certificación cifra la clave privada mediante la clave pública en el certificado KRA. Si la entidad de certificación ha emitido varios certificados KRA, cifra la clave privada una vez con cada clave pública disponible para que cualquier agente de recuperación de claves autorizado pueda recuperar una clave. Las claves privadas cifradas se almacenan en la base de datos de certificados.
  5. La CA libera todas las referencias a la clave privada y libera y pone a cero de forma segura toda la memoria que contenía la clave. Esto garantiza que la CA no tenga acceso adicional a la clave en formato de texto no cifrado.

Nota:

Solo se puede usar una solicitud CMC para el archivado de claves. Las solicitudes CMC se representan mediante la interfaz IX509CertificateRequestCmc.

 

Recuperación de clave

Los servicios de certificados de Active Directory no admiten directamente la recuperación de claves ni la API de inscripción de certificados. Sin embargo, Microsoft proporciona las siguientes aplicaciones para ayudar con el proceso:

  • Certutil.exe es un programa de línea de comandos que se puede usar para recuperar información de configuración de CA, comprobar certificados, pares de claves y cadenas de certificados, y realizar copias de seguridad y restaurar claves. Se incluye en sistemas operativos de servidor a partir de Windows Server 2003.
  • Krecover.exe es un programa basado en cuadros de diálogo que permite la recuperación de claves. Se incluye con el Kit de recursos a partir de Windows Server 2003.

Los pasos siguientes se realizan para recuperar una clave privada:

  1. El administrador de certificados busca posibles candidatos para la recuperación de claves en la base de datos de certificados mediante el nombre del certificado, el solicitante o el usuario. El comando -getkey de Certutil se puede usar para este propósito.
  2. Una vez que el administrador de certificados tiene una lista de certificados, se vuelve a llamar al comando -getkey con un número de serie de certificado específico o impresión digital para recuperar un archivo PKCS #7 que contiene el certificado KRA, la cadena de certificados de usuario y la clave privada que se cifró durante el archivado mediante la clave pública KRA.
  3. El administrador de certificados pasa el control del proceso al agente de recuperación de claves cuya clave privada coincide con la clave pública contenida en el certificado KRA.
  4. El agente de recuperación de claves descifra la clave privada archivada devuelta en el archivo PKCS #7 mediante la clave privada KRA. Esto se puede hacer mediante el comando -recoverkey de Certutil que coloca la clave en un archivo PKCS #12 protegido con contraseña. El cliente debe proporcionar la contraseña a través de un mecanismo seguro fuera de banda.
  5. El cliente importa el archivo PKCS #12 y usa la contraseña para recuperar la clave.

Elementos de PKI