다음을 통해 공유

키 복구 서버

  • 아티클

인증서 요청에 제출된 공개 키와 연결된 프라이빗 키를 보관하고 복구하도록 Microsoft CA(인증 기관)를 구성할 수 있습니다. 복구는 키가 손실된 경우에 유용합니다. 기본적으로 암호화 키만 보관할 수 있습니다. 프라이빗 서명 키가 손실된 경우 서명을 확인하는 데 공개 키만 필요하기 때문에 서명 전용 키를 보관할 필요는 없습니다.

키를 보관하려면 CA가 KRA(키 복구 에이전트) 인증서를 발급하고 이미 하나 이상을 발급하도록 구성해야 합니다. 키 복구 에이전트는 조직에서 프라이빗 키의 암호를 해독할 수 있는 권한을 부여한 관리자입니다. 보안을 강화하려면 키 복구 에이전트 및 인증서 관리자 역할을 다른 개인에게 할당하고, 인증서 관리자가 보관된 키를 검색할 수 있지만 암호 해독은 허용하지 않으며, 키 복구 에이전트가 키의 암호를 해독할 수 있지만 키는 검색할 수 없도록 하는 것이 좋습니다.

키 보관

클라이언트는 일반적으로 템플릿을 사용하여 인증서를 요청합니다. 템플릿에 프라이빗 키를 보관해야 하는 경우 클라이언트와 CA에서 다음 단계를 수행합니다.

  1. 클라이언트는 CA 교환 인증서를 검색하고 유효성을 검사하여 CA 서명 인증서에 서명하는 데 사용된 것과 동일한 키로 서명되었는지 확인합니다. 이렇게 하면 프라이빗 키를 해독할 수 있는 유일한 CA는 인증서가 요청되는 CA입니다.
  2. CA 교환 인증서의 공개 키는 인증서 요청과 연결된 프라이빗 키를 암호화하는 데 사용되며 요청은 CA로 전송됩니다.
  3. CA는 해당 교환 인증서와 연결된 프라이빗 키를 사용하여 클라이언트에서 보낸 프라이빗 키의 암호를 해독하고 요청의 퍼블릭 및 프라이빗 키가 관련되어 있는지 확인합니다.
  4. CA는 KRA 인증서의 공개 키를 사용하여 프라이빗 키를 암호화합니다. CA가 여러 KRA 인증서를 발급한 경우 권한 있는 키 복구 에이전트가 키를 복구할 수 있도록 사용 가능한 각 공개 키로 프라이빗 키를 한 번 암호화합니다. 암호화된 프라이빗 키는 인증서 데이터베이스에 저장됩니다.
  5. CA는 프라이빗 키에 대한 모든 참조를 해제하고 키를 포함하는 모든 메모리를 안전하게 해제하고 0으로 설정합니다. 이렇게 하면 CA가 명확한 텍스트 형식의 키에 더 이상 액세스할 수 없습니다.

참고 항목

키 보관에는 CMC 요청만 사용할 수 있습니다. CMC 요청은 IX509CertificateRequestCmc 인터페이스로 표시됩니다.

 

키 복구

Active Directory 인증서 서비스 또는 인증서 등록 API에서는 키 복구가 직접 지원되지 않습니다. 그러나 Microsoft는 프로세스에 도움이 되는 다음 애플리케이션을 제공합니다.

  • Certutil.exe CA 구성 정보를 검색하고, 인증서, 키 쌍 및 인증서 체인을 확인하고, 키를 백업 및 복원하는 데 사용할 수 있는 명령줄 프로그램입니다. Windows Server 2003부터 서버 운영 체제에 포함됩니다.
  • Krecover.exe 키 복구를 가능하게 하는 대화 상자 기반 프로그램입니다. Windows Server 2003부터 리소스 키트에 포함됩니다.

다음 단계는 프라이빗 키를 복구하기 위해 수행됩니다.

  1. 인증서 관리자는 인증서, 요청자 또는 사용자의 이름을 사용하여 인증서 데이터베이스에서 키 복구를 위한 잠재적인 후보를 찾습니다. Certutil -getkey 명령을 이 용도로 사용할 수 있습니다.
  2. 인증서 관리자에 인증서 목록이 있으면 특정 인증서 일련 번호 또는 지문 인쇄를 사용하여 -getkey 명령을 다시 호출하여 KRA 인증서, 사용자 인증서 체인 및 KRA 공개 키를 사용하여 보관 중에 암호화된 프라이빗 키를 포함하는 PKCS #7 파일을 검색합니다.
  3. 인증서 관리자는 프라이빗 키가 KRA 인증서에 포함된 공개 키와 일치하는 키 복구 에이전트에 프로세스 제어를 전달합니다.
  4. 키 복구 에이전트는 KRA 프라이빗 키를 사용하여 PKCS #7 파일에 반환된 보관된 프라이빗 키의 암호를 해독합니다. 이 작업은 암호로 보호된 PKCS #12 파일에 키를 배치하는 Certutil -recoverkey 명령을 사용하여 수행할 수 있습니다. 클라이언트는 보안 대역 외 메커니즘을 통해 암호를 제공해야 합니다.
  5. 클라이언트는 PKCS #12 파일을 가져오고 암호를 사용하여 키를 검색합니다.

PKI 요소