web-dev-qa-db-ja.com

Windows証明機関はルートの秘密キーをどこに保存しますか?

Windows Server 2012 R2エンタープライズルート証明機関をHyper-V仮想マシン上に持っていますが、これは 現在不明な理由により が起動しなくなりました。

VMがオンラインに戻るかどうかはわかりませんが、私が知っていることは、仮想ディスクがあり、損傷していないようです。別のシステムにマウントしてアクセスできます。その内容のすべて。

新しい仮想マシンでCAを再構築したいのですが、以前に多くのCA移行を実行したことがあるこのプロセスに慣れています。証明機関データベース(C:\Windows\system32\certlog)、そしてそれを新しく構築されたCAにコピーする方法。

知らないのは、CAのルート証明書がどこに保存されているのですか? CAを再構築するには秘密鍵が必要ですが、障害が発生したCAの仮想ディスクのどこにあるかわかりません。

4
Massimo

オフラインマシンからCAキーを回復することはできません。 2つの理由があります。

  1. キーへの参照はやや複雑であるため、実際の秘密キーファイル名を見つけるのは困難です。あなたの場合、秘密鍵ファイルは次の場所にあります:%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys
  2. ファイル名の識別に成功した場合でも、ファイルを別のコンピューターにコピーしてキーペアを復元することはできません。秘密キーはローカルでDPAPIによって保護されており、別のコンピューターで暗号化されたキーを復号化できないためです。

少なくともセーフモード(またはコマンドプロンプトを使用した保存モード)でコンピューターを実行できれば、ファイル名を簡単に識別して、キーをPFXにエクスポートすることができます。

4
Crypt32