Секретный ключ критичен для любого сертификата. Хотя вы можете сделать резервную копию ключа, существует и другая возможность для Certificate Authority (СА). Вы можете заархивировать секретный ключ в базе данных СА, который впоследствии может быть при необходимости восстановлен. Чтобы это сделать, нужно выполнить ряд шагов.
1.Для одного или нескольких администраторов требуется сертификат Key Recovery Agent. Для этого нужен шаблон сертификата Key Recovery Agent. Откройте оснастку Certificate Authority консоли Microsoft Management Console (ММС), правой кнопкой мыши щелкните по Certificate Templates и выберите Manage.
2. Откройте свойства шаблона Key Recovery Agent. В моем примере я блокировал необходимость в одобрении Key Recovery Agent, не выбрав вариант СА certificate manager approval («одобрение менеджера сертификата СА») на вкладке требований публикации Issuance Requirements. На вкладке Security вы увидите, что по умолчанию только администраторы домена и предприятия имеют разрешение на регистрацию сертификата. Нажмите ОК и закройте консоль шаблонов сертификата Certificate Templates Console.
3. Как администратор, вы должны запросить Key Recovery Certificate через оснастку ММС Certificates, который будет виден в хранилище Personal Certificates.
4. В оснастке Certificate Authority правой кнопкой мыши щелкните по СА и выберите Properties.
5. На вкладке Recovery Agents измените вариант на Archive the key («архивировать ключ») и выберите Add for recovery agents («добавить агентов восстановления»). Выберите сертификат для администратора, затем щелкните Apply, чтобы изменение вступило в силу. Нажмите ОК.
6. Шаблоны сертификата нужно активировать для того, чтобы заархивировать секретный ключ. Выберите Certificate Templates и щелкните Manage. Выберите шаблон сертификата для активации архивирования и выберите Properties. Выберите вкладку обработки запроса Request Handling, затем выберите Archive subject’s encryption private key («шифрование секретного ключа объекта архива»), как показано на экране 1. Нажмите ОК.
7. Новые сертификаты, сгенерированные из шаблона, теперь получат ключ архивации, который будет показан в Issued Certificates, когда вы добавите колонку Archived Key (View, Add/Remove Columns).
У меня есть виртуальная машина, которая соединена с доменом. Когда я пытаюсь зарегистрироваться на ней, появляется сообщение о проблеме с отношениями доверия. Что делать?
На самом деле с Hyper-V это не имеет ничего общего. Если вы видите сообщение The security database on the server does not have a computer account for this workstation trust relationship («У базы данных системы безопасности на сервере нет учетной записи компьютера для доверительного отношения с рабочей станцией»), когда пытаетесь зарегистрироваться, то либо пароль неверен, либо Active Directory не знает операционную систему. Такое часто случается на компьютерах, которые либо были выключены в течение долгого времени, а объект в AD был очищен, либо вы сохранили резервную копию, у которой неправильный пароль учетной записи.
Комментарии