Server di ripristino delle chiavi

Un'autorità di certificazione Microsoft può essere configurata per archiviare e ripristinare la chiave privata associata alla chiave pubblica inviata nella richiesta di certificato. Il ripristino è utile se una chiave viene persa. Per impostazione predefinita, è possibile archiviare solo le chiavi di crittografia. Non è necessario archiviare le chiavi destinate solo alla firma perché è necessaria solo la chiave pubblica per verificare una firma se la chiave di firma privata viene persa.

Per archiviare una chiave, la CA deve essere configurata per rilasciare certificati dell'agente di ripristino delle chiavi (KRA) e avere già rilasciato almeno uno. Un agente di ripristino delle chiavi è un amministratore autorizzato da un'organizzazione a decrittografare le chiavi private. Per migliorare la sicurezza, è consigliabile assegnare l'agente di ripristino delle chiavi e i ruoli di gestione certificati a utenti diversi, che il gestore certificati sia autorizzato a recuperare ma non decrittografare le chiavi archiviate e che l'agente di ripristino delle chiavi sia autorizzato a decrittografare le chiavi ma non recuperarle.

Archiviazione chiavi

Un client richiede in genere un certificato usando un modello. Se il modello richiede che la chiave privata venga archiviata, i passaggi seguenti vengono eseguiti dal client e dalla CA:

1. Il client recupera e convalida il certificato di scambio della CA per determinare se è stato firmato dalla stessa chiave usata per firmare il certificato di firma della CA. In questo modo, l'unica CA in grado di decrittografare la chiave privata è la CA da cui viene richiesto un certificato.
2. La chiave pubblica nel certificato di scambio della CA viene usata per crittografare la chiave privata associata alla richiesta di certificato e la richiesta viene inviata alla CA.
3. La CA usa la chiave privata associata al certificato di scambio per decrittografare la chiave privata inviata dal client e verifica che le chiavi pubbliche e private nella richiesta siano correlate.
4. La CA crittografa la chiave privata usando la chiave pubblica nel certificato KRA. Se la CA ha rilasciato più certificati KRA, crittografa la chiave privata una volta con ogni chiave pubblica disponibile in modo che qualsiasi agente di ripristino delle chiavi autorizzato possa recuperare una chiave. Le chiavi private crittografate vengono archiviate nel database del certificato.
5. La CA rilascia tutti i riferimenti alla chiave privata e libera in modo sicuro e zero tutta la memoria che contiene la chiave. Ciò garantisce che l'autorità di certificazione non abbia più accesso alla chiave in formato testo non crittografato.

Recupero chiavi

Il ripristino delle chiavi non è supportato direttamente da Servizi certificati Active Directory o dall'API di registrazione certificati. Microsoft fornisce tuttavia le applicazioni seguenti per facilitare il processo:

• Certutil.exe è un programma da riga di comando che può essere usato per recuperare le informazioni di configurazione della CA, verificare certificati, coppie di chiavi e catene di certificati e eseguire il backup e il ripristino delle chiavi. È incluso nei sistemi operativi server che iniziano con Windows Server 2003.
• Krecover.exe è un programma basato su finestre di dialogo che abilita il ripristino delle chiavi. È incluso in Resource Kit a partire da Windows Server 2003.

Per ripristinare una chiave privata vengono eseguiti i passaggi seguenti:

1. Gestione certificati individua i potenziali candidati per il ripristino delle chiavi nel database del certificato usando il nome del certificato, del richiedente o dell'utente. Il comando Certutil -getkey può essere usato a questo scopo.
2. Dopo che il gestore certificati ha un elenco di certificati, il comando -getkey viene chiamato di nuovo con un numero di serie o una stampa personale del certificato specifico per recuperare un file PKCS #7 che contiene il certificato KRA, la catena di certificati utente e la chiave privata crittografata durante l'archiviazione usando la chiave pubblica KRA.
3. Gestione certificati passa il controllo del processo all'agente di ripristino delle chiavi la cui chiave privata corrisponde alla chiave pubblica contenuta nel certificato KRA.
4. L'agente di ripristino della chiave decrittografa la chiave privata archiviata restituita nel file PKCS #7 usando la chiave privata KRA. A tale scopo, usare il comando Certutil -recoverkey che inserisce la chiave in un file PKCS #12 protetto da password. Al client deve essere assegnata la password tramite un meccanismo protetto fuori banda.
5. Il client importa il file PKCS #12 e usa la password per recuperare la chiave.

Argomenti correlati

Elementi PKI