PKI: Räägime pisut KRA´st

Shalom!

Seekord kalduksin tüüpteemadelt suisa ebamaisemate teemade juurde ümber. Nimelt vaataks sellist asja nagu Public Key Infrastructure ning täpsemalt võttes siis Key Recovery Agent (KRA) temaatikat.

Kui vaadata lähemalt ADSIEdit´is rada Configuration -> Services -> Public Key Infrastructure, siis leiame sealt nii mõnegi huvitava konteineri. Kuid mis need kaustad tähendavad? Käesolevas postituses kajastangi pisut just KRA osa ning selle tausta lühidalt.

KRA, nagu sai mainitud varem, tähendab siis Key Recovery Agent´it, mis omakorda maakeeli tähendab siis “Võtme Taastamise Agenti” – oeh. On õige asju vist mitte tõlkida! KRA agent on äärmiselt kriitiline roll PKI hierarhias, kuna tema saab sertifikaatide privaatvõtmeid taastada. Kogu kontseptsiooni eesmärk on siis võimaldada kellelgi äärmiselt tähtsal isikul taastada privaatvõtmeid, mis muidu oleksid taastamatud (juhul kui midagi juhtub). Sääraseid situatsioone võib olla mitmeid. Toon siinkohal välja mõned näited:

  1. Kasutaja, kes oma privaatvõtmega andmed krüpteeris ei ole kättesaadav või on lahkunud
  2. Privaatvõti on mingil muu põhjusel kadunud või kasutamatu
  3. Arvuti kõvaketas annab otsad ning krüpteeritud andmed vajavad taastamist
  4. jne

Sellistel juhtudel saab taastada kasutaja privaatvõtme, mille abil on võimalik siis eelmainitud probleemidele lahendus leida.

KRA konteineris hoitakse siis kõikide KRA Agentide sertifikaate, mis on väljastatud. KRA sertifikaadi väljastamiseks on olemas spetsiaalne näidismall (Template), mis on võimalik valitud isikutele välja publitseerida. Meeles peab pidama, et vaikeväärtusena on seadistatud seadistus, mis nõuab peale sertifikaadi paigaldamise päringut Administraatoril sertifikaadi väljastamine kinnitada. Vastasel juhul sertifikaati ei väljastata.

Selleks, et Certification Authority (CA) üldse võtmeid arhiveeriks tuleb CA sätteid muuta. Vaikesättena seda ei tehta.

Ava CA -> Parem klikk “CA Nimel” -> “Properties” -> Avanenud aknas vali “Recovery Agent” -> Vali “Archive the key”. Ühtlasi pead valima juba ka Key Recovery agendi sertifikaadi.

Kõik sisestatud agentide sertifikaadid peavad olema kehtivad (Seda kontrollitakse lisamise käigus). Peale teenuse taaskäivitamist on näha ka sertifikaatide olukord (Valid).

See veel ei tähenda, et võtmed automaatselt arhiveeritakse. See, milliseid võtmeid hakatakse arhiveerima tuleneb näidismalli (Template) seadistusest. Täpsemalt siis:

Ava näidismall, millega väljastatud sertifikaatide võtmed arhiveeritakse (Properties) -> Vali avanenud aknast “Request Handling” -> Vali “Archive subject´s encryption private key” ning “Use advanced Symmetric algorithm to send the key to the CA”

Meeles peab pidama, et kõik eelnevalt välja antud sertifikaatide võtmeid tagant järgi ei salvestata. Ainult kõikide järgnevate sertifikaatide võtmed arhiveeritakse.

Siit edasi on juba võimalik taastada väljastatud sertifikaatide privaatvõtmeid PFX faili. Selleks saab kasutada certutil.exe tööriista.

Your email address will not be published. Required fields are marked *

*