設定與實作金鑰修復

1. 開啟 AD主機上的 CA主控台的憑證範本主控台, 開啟「金鑰修復代理」的範本

w-studio.idv.tw

2. 在「發行需求」標籤中, 取消勾選要有 CA憑證管理員核准

3. 在「安全性」標籤中, 網域管理員及企業管理員的群組權限勾選允許註冊

4. 回到 CA主控台, 在憑證範本項目上按右鍵新增鑰發出的憑證範本

5. 選擇金鑰修復代理

6. 完成金鑰修復代理憑證範本新增

7. 在 AD主機上開啟 MMC主控台的憑證項目, 於個人憑證中要求新憑證

8. 開始註冊憑證

9. 選取憑證註冊原則

10. 勾選金鑰修復代理w-studio.idv.tw

11. 完成憑證註冊

12. 這時可以看到系統管理員有金鑰修復代理的憑證

13. 查看 CA內容中的「修復代理」標籤, 選擇保存金鑰並按下新增

14. 開啟的預先憑證並不是我們要的, 點擊其他選擇

15. 逐一選擇憑證並查看憑證內容

16. 找到金鑰修復代理(KRA)憑證

17. 新增的金鑰修復代理憑證這時還未載入

18. 必須重啟 ADCS

19. 這時金鑰修復代理憑證已有效

20. 接著來到憑證範本主控台, 複製「使用者」範本

21. 在「一般」標籤中, 輸入範本名稱(存檔使用者)

22. 在「處理要求」標籤中, 勾選封存主體的加密私密金鑰, 及變更金鑰封存屬性按確定

23. 在「主體名稱」標籤中, 取消勾選在主體名稱中包含電子郵件名稱及電子郵件名稱

24. 完成新稱存檔使用者範本

25. 在憑證範本上新增要發出的憑證範本

26. 選擇存檔使用者

27. 完成新增憑證範本w-studio.idv.tw

28. 來到 Client主機, 使用 Peter帳號登入

29. 開啟 MMC主控台的憑證項目, 於個人憑證中要求新憑證

30. 開始註冊憑證

31. 選取憑證註冊原則

32. 憑證選擇存檔使用者

33. 完成憑證註冊

34. 這時 Peter也有存檔使用者的憑證

35. 開啟這個憑證, 記下其序號及憑證指紋

36. 模擬刪除這個憑證

37. 確認刪除憑證

38. 來到 AD主機上的 CA主控台, 在已發出的憑證中開啟剛剛被刪除的 Peter憑證

39. 複製憑證序號(可同時記下憑證指紋)

40. 輸入指令 certutil -getkey "複製的憑證序號" outputblob, 抓取這個憑證的金鑰

41. 再輸入指令 certutil -recoverkey outputblob 檔名.pfx, 並輸入密碼, 完成復原金鑰

w-studio.idv.tw

42. 復原的金鑰檔會存在當時指令的路徑(如: 使用者目錄下)

43. 回到 Client主機(此時還是 Peter登入), 連線到 AD主機的網路共用目錄中

44. 將 peter.pfx金鑰復原檔複製

45. 將檔案複製到 Peter使用者目錄下

46. 在檔案上按右鍵, 選擇安裝 PFX

47. 開始憑證匯入, 選擇目前使用者

48. 檔案名稱選擇剛剛的路徑 peter.pfx檔

49. 輸入剛剛的密碼

50. 憑證存放區選擇自動存放, 如有其他需求再選擇存放到其他區

51. 確認憑證匯入

52. 再到 MMC主控台, 點擊重新整理

53. 這時剛剛刪除的存檔使用者憑證還原了

54. 開啟這個憑證查看, 確認序號及憑證指紋都是一樣的