数据恢复代理必须拥有数据恢复密钥(DRA 密钥),以确保在正常恢复无法实现的情况下加密数据的恢复。由此可见,保护恢复密钥很重要。预防恢复密钥丢失的一个好方法是,导出数据恢复证书和数据恢复代理的私钥,并以 .pfx 格式文件保存到安全的可移动的媒体中。在恢复丢失数据时,可以将其导入。
以下步骤概述了导出与导入 DRA 密钥的过程。
要求
• |
凭据:您必须用域的第一个域控制器的管理员帐户登录。 |
• |
工具:MMC 证书管理单元。 |
• |
导出默认域数据恢复代理的证书和私钥需要执行以下操作
1. |
以域的第一个域控制器的管理员帐户登录。 |
2. |
单击“开始”,然后单击“运行”。 |
3. |
键入 mmc.exe ,并按“回车”键。
|
4. |
单击“文件”、“添加/删除管理单元”。 |
5. |
单击“添加”。将弹出当前计算机上注册的所有管理单元列表。 |
6. |
双击“证书”管理单元,单击“我的用户帐户”,然后单击“完成”。
|
7. |
在“添加独立管理单元”对话框中,单击“关闭”按钮,然后在“添加/删除管理单元”对话框中,单击“确定”按钮。MMC 当前显示适合管理员帐户的个人证书。 |
8. |
导航到“证书”、“当前用户”、“个人”、“证书”。 详细信息栏(右栏)中将显示管理员帐户所有证书列表。默认情况下,通常显示两个证书。选择默认域的 DRA 证书。 |
9. |
双击默认域的 DRA 证书,选择“所有任务”,然后单击“导出” 按钮,启动“证书导出向导”。
要点: 在导出过程中,选择正确的密钥至关重要,因为一旦导出过程结束,原始私钥和相应的证书将从计算机上被删除。如果密钥没有还原到计算机上,那么使用 DRA 证书将无法进行文件恢复。 |
10. |
单击“是,导出私钥”,然后单击“下一步”。导出过程的结束时,私钥将被删除。
|
11. |
在“导出文件格式”页中,单击“个人信息交换 PKCS #12 (.PFX)”,选中“启用增强型保护”和“如果导出成功,删除私钥”这两个复选框,单击“下一步”。 最佳做法是,导出成功结束后,从系统中删除私钥,增强型私钥保护应当作为私钥安全的特殊级别使用。 导出私钥时,请使用 .pfx 文件格式。.pfx 文件格式是基于 PKCS #12 标准的,该标准是一种可移植格式,用于存储或传输包括私钥、证书和各种机密信息在内的用户信息。此外,.pfx 文件格式 (PKCS #12) 还允许使用密码,来保护存储在文件中的私钥。
|
12. |
在“密码”页中的“密码”“密码确认”编辑框中,输入一个强密码,然后单击“下一步”。
最后一步是保存真正的 .pfx 文件。证书与私钥可以导出到任何可写入设备中,包括网络驱动器或软盘。 |
13. |
在“导出文件”页中,键入或浏览路径并指定文件名,然后单击“下一步”。
通知将报告导出操作是否成功。
如果文件和相关私钥丢失,将无法解密任何使用该 DRA 证书作为数据恢复代理的加密文件。.pfx 文件和私钥一旦被导出,就要按照企业的安全规则与做法,在稳定的可移动媒体的安全位置存储该文件。例如,企业可以把 .pfx 文件保存在一各或多个 CD-ROM 光盘中,将这些光盘存放于一个安全的存放盒或隔间内,并在这些地点实施严格的物理访问控制。 | |
如果要使用导出的数据恢复密钥来恢复加密的数据,首先必须导入该密钥。导入密钥要比导出密钥简单得多。要导入以 PKCS #12 格式文件(.pfx文件)存储的密钥,双击该文件,打开“证书导入向导”,或者直接运行“证书导入向导”,按照以下步骤导入密钥:
要求
• |
凭据:计算机的 Domain Admin 帐户。 |
• |
工具:MMC 证书管理单元。 |
• |
导入数据恢复密钥
1. |
使用有效帐户登录计算机。 |
2. |
单击“开始”、“运行”。
|
3. |
键入 mmc.exe ,并按“回车”键。 |
4. |
在 MMC 中,在“文件”菜单中,选择“添加/删除管理单元”。 |
5. |
单击“添加”。弹出当前计算机上注册的所有管理单元列表。 |
6. |
双击“证书” 管理单元,单击“我的用户帐户”,然后单击“完成”。 |
7. |
在“添加独立管理单元”对话框中,单击“关闭”按钮,然后在“添加/删除管理单元”对话框中,单击“确定”按钮。MMC 当前显示适合管理员帐户的个人证书。
|
8. |
导航到“证书”、“当前用户”、“个人”、“证书”,右键单击该文件夹,选择“所有任务”,然后单击“导入”,启动“证书导入向导”。
|
9. |
单击“下一步”,输入要导入的文件和及其路径,再单击“下一步”。
|
10. |
如果导入的文件为 PKCS #12 文件,在“密码”页中的“密码”框中,输入该文件的密码。 最佳的做法为采用强密码保护私钥。 |
11. |
如果稍后需要从该计算机中再次导出此密钥,请选中“标明该密钥为可导出”复选框。单击“下一步”
|
12. |
向导可能会提示您指定证书与私钥应该导入的存储器。要确保私钥被导入到个人存储器中,请不要选择“基于证书类型自动选择证书存储器”,而应选择“把所有证书保存到以下存储器中”,然后单击“下一步”。
|
13. |
高亮度选择“个人”存储器,单击“确定”按钮。
|
14. |
单击“下一步”,再单击“完成”,结束导入过程。通知将报告导入操作是否成功。
| |
要点:数据恢复代理应始终使用基于域的帐户,这是因为本地帐户易于受到离线物理攻击。 |