在日常使用计算机过程中,难免会遇到计算机故障,相应的计算机或用户证书就会丢失。造成丢失的情况基本上有这些:用户profile损坏、操作系统崩溃、人为恶意删除、硬盘物理故障......针对此类情况,密钥恢复代理能够很好的解决。
密钥恢复代理的过程有:1指定用户成为密钥恢复代理管理员
2密钥恢复代理管理员通过证书序列号检索证书
3密钥恢复代理管理员恢复证书,发送给用户
4用户申请证书
配置过程:
step1:指定用户成为密钥恢复代理管理员
step2:用户注册密钥恢复代理证书
切回到CA,颁发KRA证书
step3:设置恢复代理
step4:设置新用户证书模板,启用存档
PS:只对之后申请的用户证书存档
Step5:用户申请启用存档的用户证书
step6:密钥恢复代理管理员检索证书
检索jx001证书
PS:下图中jx001的用户证书有两张,16是未启用存档功能的证书,20是启用了存档功能的证书。注意!!!
打开20证书,复制序列号,发送给KRA-ADMIN进行检索
检索证书
step7:密钥恢复代理管理员恢复证书
step8:发送给用户并注册
配置过程中遇到的问题:1、用户申请启用存档密钥功能的用户证书时出现报错情 况:certsrv_e_subject_email_required。
解决方法:AD中将用户属性E-mail字段写全。
2、用KRA-ADMIN检索证书时报错。
解决方法:必须是在CA上才能检索,只有CA保存了所有的证书信息。
我认为检索这一动作不是由KRA-ADMIN来执行,应该由CA管理员来执行,再由CA管理员将p7b文件传给KRA-admin,最后由KRA-admin进行恢复,传给用户安装。
时间: 2024-10-25 13:20:15