キー回復サーバー

Microsoft 証明機関 (CA) は、証明書要求で送信された公開キーに関連付けられている秘密キーをアーカイブおよび回復するように構成することができます。 回復は、キーが失われた場合に便利です。 既定では、暗号化キーのみをアーカイブできます。 署名専用のキーをアーカイブする必要はありません。これは、秘密署名キーが失われた場合、署名を検証するために公開キーのみが必要であるためです。

キーをアーカイブするには、CA がキー回復エージェント (KRA) 証明書を発行し、少なくとも 1 つは発行しておくように CA の構成を行う必要があります。 キー回復エージェントは、組織が秘密キーの暗号化を解除する権限を持つ管理者です。 セキュリティを強化するために、キー回復エージェントと証明書マネージャーの役割を異なる個人に割り当てること、証明書マネージャーにはアーカイブされたキーの取得は許可するが復号化は許可しないこと、キー回復エージェントにはキーの復号化許可するが取得は許可しないことをお勧めします。

キー アーカイブ

通常、クライアントはテンプレートを使用して証明書を要求します。 テンプレートで秘密キーをアーカイブする必要がある場合は、クライアントと CA によって次の手順が実行されます。

1. クライアントは CA 交換証明書を取得して検証し、CA 署名証明書の署名に使用されたのと同じキーによって署名されたかどうかを判断します。 これにより、秘密キーを復号化できる唯一の CA は、証明書の要求元の CA になります。
2. CA 交換証明書の公開キーは、証明書要求に関連付けられている秘密キーを暗号化するために使用され、要求は CA に送信されます。
3. CA は、その交換証明書に関連付けられている秘密キーを使用して、クライアントによって送信された秘密キーを復号化し、要求の公開キーと秘密キーが関連していることを確認します。
4. CA は、KRA 証明書の公開キーを使用して秘密キーを暗号化します。 CA が複数の KRA 証明書を発行した場合は、使用可能な公開キーごとに秘密キーを 1 回暗号化し、承認されたキー回復エージェントがキーを回復できるようにします。 暗号化された秘密キーは、証明書データベースに格納されます。
5. CA は秘密キーへのすべての参照を解放し、キーを含むすべてのメモリを安全に解放してゼロにします。 これにより、CA はクリア テキスト形式でキーにそれ以上アクセスできなくなります。

キーの回復

キーの回復は、Active Directory 証明書サービスまたは証明書登録 API では直接サポートされていません。 ただし、Microsoft では、このプロセスに役立つ次のアプリケーションを提供しています。

• Certutil.exe は、CA 構成情報の取得、証明書、キー ペア、証明書チェーンの検証、キーのバックアップと復元に使用できるコマンド ライン プログラムです。 これは、Windows Server 2003 以降のサーバー オペレーティング システムに含まれています。
• Krecover.exe は、キーの回復を有効にするダイアログ ボックス ベースのプログラムです。 これは、Windows Server 2003 以降のリソース キットに含まれています。

秘密キーを回復するには、次の手順を実行します。

1. 証明書マネージャーは、証明書、要求者、またはユーザーの名前を使用して、証明書データベース内のキー回復の候補を特定します。 この目的には、Certutil -getkey コマンドを使用できます。
2. 証明書マネージャーが証明書の一覧を取得すると、-getkey コマンドが特定の証明書のシリアル番号またはサムプリントで再度呼び出され、KRA 証明書、ユーザー証明書チェーン、および KRA 公開キーを使用してアーカイブ中に暗号化された秘密キーを含む PKCS #7 ファイルが取得されます。
3. 証明書マネージャーは、KRA 証明書に含まれる公開キーと一致する秘密キーを持つキー回復エージェントにプロセスの制御を渡します。
4. キー回復エージェントは、KRA 秘密キーを使用して、PKCS #7 ファイルで返されたアーカイブされた秘密キーを復号化します。 これを行うには、パスワードで保護された PKCS #12 ファイルにキーを配置する Certutil -recoverkey コマンドを使用します。 クライアントには、セキュリティで保護された帯域外のメカニズムを使用してパスワードを指定する必要があります。
5. クライアントは PKCS #12 ファイルをインポートし、パスワードを使用してキーを取得します。

関連トピック

PKI 要素