Winserver2012R2 部署密钥恢复代理

   在日常使用计算机过程中，难免会遇到计算机故障，相应的计算机或用户证书就会丢失。造成丢失的情况基本上有这些：用户profile损坏、操作系统崩溃、人为恶意删除、硬盘物理故障......针对此类情况，密钥恢复代理能够很好的解决。

   密钥恢复代理的过程有：1指定用户成为密钥恢复代理管理员

                  2密钥恢复代理管理员通过证书序列号检索证书

                  3密钥恢复代理管理员恢复证书，发送给用户

                  4用户申请证书

配置过程:

step1：指定用户成为密钥恢复代理管理员

step2：用户注册密钥恢复代理证书

切回到CA，颁发KRA证书

step3：设置恢复代理

step4：设置新用户证书模板，启用存档

PS：只对之后申请的用户证书存档

Step5：用户申请启用存档的用户证书

step6：密钥恢复代理管理员检索证书

检索jx001证书

PS：下图中jx001的用户证书有两张，16是未启用存档功能的证书，20是启用了存档功能的证书。注意！！！

打开20证书，复制序列号，发送给KRA-ADMIN进行检索

检索证书

step7：密钥恢复代理管理员恢复证书

step8：发送给用户并注册

配置过程中遇到的问题：1、用户申请启用存档密钥功能的用户证书时出现报错情                              况：certsrv_e_subject_email_required。

        解决方法：AD中将用户属性E-mail字段写全。

              2、用KRA-ADMIN检索证书时报错。

        解决方法：必须是在CA上才能检索，只有CA保存了所有的证书信息。

              我认为检索这一动作不是由KRA-ADMIN来执行，应该由CA管理员来执行，再由CA管理员将p7b文件传给KRA-admin，最后由KRA-admin进行恢复，传给用户安装。

转载于:https://blog.51cto.com/5496038/1857719