Share via

Server Pemulihan Kunci

  • Artikel

Otoritas sertifikasi Microsoft (CA) dapat dikonfigurasi untuk mengarsipkan dan memulihkan kunci privat yang terkait dengan kunci umum yang dikirimkan dalam permintaan sertifikat. Pemulihan berguna jika kunci hilang. Secara default, hanya kunci enkripsi yang dapat diarsipkan. Tidak perlu mengarsipkan kunci yang dimaksudkan hanya untuk penandatanganan karena hanya kunci umum yang diperlukan untuk memverifikasi tanda tangan jika kunci penandatanganan privat hilang.

Untuk mengarsipkan kunci, CA harus dikonfigurasi untuk mengeluarkan sertifikat agen pemulihan kunci (KRA) dan telah mengeluarkan setidaknya satu. Agen pemulihan kunci adalah administrator yang diotorisasi oleh organisasi untuk mendekripsi kunci privat. Untuk meningkatkan keamanan, sebaiknya agen pemulihan kunci dan peran manajer sertifikat ditetapkan ke individu yang berbeda, bahwa manajer sertifikat diizinkan untuk mengambil tetapi tidak mendekripsi kunci yang diarsipkan, dan bahwa agen pemulihan kunci diizinkan untuk mendekripsi kunci tetapi tidak mengambilnya.

Arsip Kunci

Klien biasanya meminta sertifikat dengan menggunakan templat. Jika templat mengharuskan kunci privat diarsipkan, langkah-langkah berikut dilakukan oleh klien dan CA:

  1. Klien mengambil dan memvalidasi sertifikat pertukaran CA untuk menentukan apakah sertifikat tersebut telah ditandatangani oleh kunci yang sama yang digunakan untuk menandatangani sertifikat penandatanganan CA. Ini memastikan bahwa satu-satunya CA yang dapat mendekripsi kunci privat adalah CA tempat sertifikat diminta.
  2. Kunci umum dalam sertifikat pertukaran CA digunakan untuk mengenkripsi kunci privat yang terkait dengan permintaan sertifikat, dan permintaan dikirim ke CA.
  3. CA menggunakan kunci privat yang terkait dengan sertifikat pertukarannya untuk mendekripsi kunci privat yang dikirim oleh klien dan memverifikasi bahwa kunci publik dan privat dalam permintaan terkait.
  4. CA mengenkripsi kunci privat dengan menggunakan kunci umum dalam sertifikat KRA. Jika CA telah mengeluarkan beberapa sertifikat KRA, CA mengenkripsi kunci privat sekali dengan setiap kunci publik yang tersedia sehingga setiap agen pemulihan kunci yang diotorisasi dapat memulihkan kunci. Kunci privat terenkripsi disimpan dalam database sertifikat.
  5. CA merilis semua referensi ke kunci privat dan dengan aman membebaskan dan nol semua memori yang berisi kunci. Ini memastikan bahwa CA tidak memiliki akses lebih lanjut ke kunci dalam format teks yang jelas.

Catatan

Hanya permintaan CMC yang dapat digunakan untuk arsip kunci. Permintaan CMC diwakili oleh antarmuka IX509CertificateRequestCmc .

 

Pemulihan Kunci

Pemulihan kunci tidak didukung langsung oleh Layanan Sertifikat Direktori Aktif atau API Pendaftaran Sertifikat. Namun, Microsoft menyediakan aplikasi berikut untuk membantu prosesnya:

  • Certutil.exe adalah program baris perintah yang dapat digunakan untuk mengambil informasi konfigurasi CA, memverifikasi sertifikat, pasangan kunci, dan rantai sertifikat, serta mencadangkan dan memulihkan kunci. Ini termasuk dalam sistem operasi server yang dimulai dengan Windows Server 2003.
  • Krecover.exe adalah program berbasis kotak dialog yang memungkinkan pemulihan kunci. Ini disertakan dengan Resource Kit yang dimulai dengan Windows Server 2003.

Langkah-langkah berikut dilakukan untuk memulihkan kunci privat:

  1. Manajer sertifikat menemukan kandidat potensial untuk pemulihan kunci dalam database sertifikat dengan menggunakan nama sertifikat, pemohon, atau pengguna. Perintah Certutil-getkey dapat digunakan untuk tujuan ini.
  2. Setelah manajer sertifikat memiliki daftar sertifikat, perintah -getkey dipanggil lagi dengan nomor seri sertifikat atau cetak jempol tertentu untuk mengambil file PKCS #7 yang berisi sertifikat KRA, rantai sertifikat pengguna, dan kunci privat yang dienkripsi selama pengarsipan dengan menggunakan kunci umum KRA.
  3. Manajer sertifikat meneruskan kontrol proses ke agen pemulihan kunci yang kunci privatnya cocok dengan kunci umum yang terkandung dalam sertifikat KRA.
  4. Agen pemulihan kunci mendekripsi kunci privat yang diarsipkan yang dikembalikan dalam file PKCS #7 dengan menggunakan kunci privat KRA. Ini dapat dilakukan dengan menggunakan perintah Certutil-recoverkey yang menempatkan kunci dalam file PKCS #12 yang dilindungi kata sandi. Klien harus diberikan kata sandi melalui mekanisme out-of-band yang aman.
  5. Klien mengimpor file PKCS #12 dan menggunakan kata sandi untuk mengambil kunci.

Elemen PKI