Administracin de archivo y recuperacin de clavesCuando los usuarios pierden sus claves privadas, cualquier informacin que se haya cifrado de forma persistente con la correspondiente clave pblica deja de ser accesible. El uso del archivado y la recuperacin de claves ayuda a proteger los datos cifrados frente a prdidas permanentes si, por ejemplo, es necesario volver a instalar un sistema operativo, la cuenta de usuario para la que se emiti la clave de cifrado originalmente ya no est disponible o ya no se tiene acceso a la clave. Para facilitar la proteccin de las claves privadas, las entidades de certificacin (CA) de empresa de Microsoft pueden archivar las claves de un usuario en su base de datos al emitir los certificados. La CA cifra y almacena estas claves.Este archivo de claves privadas permite recuperar la clave posteriormente. El proceso de recuperacin de claves requiere que un administrador recupere el certificado y la clave privada cifrados; a continuacin, un Key Recovery Agent debe descifrarlos. Si se recibe una solicitud de recuperacin de claves firmada correctamente, el certificado y la clave privada del usuario se proporcionan al solicitante. A continuacin, el solicitante usa la clave del modo correspondiente o la transfiere de forma segura al usuario para su uso continuado. Siempre que no se comprometa la seguridad de la clave privada, no es necesario reemplazar o renovar el certificado con otra clave.El archivo y la recuperacin de claves no estn habilitados de forma predeterminada. Esto se debe a que muchas organizaciones consideran que el almacenamiento de la clave privada en varias ubicaciones es un serio peligro para la seguridad. Exigir a las organizaciones que tomen decisiones explcitas acerca de qu certificados se incluyen en el archivo y la recuperacin de claves y quin puede recuperar las claves cifradas garantiza el uso del archivo y la recuperacin de claves para aumentar la seguridad en lugar de reducirla.Para completar este procedimiento, debe ser un administrador de CA. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para configurar el entorno para el archivo de claves de los certificados del Sistema de cifrado de archivos (EFS)1. Cree una cuenta de Key Recovery Agent o designe un usuario existente para que acte como Key Recovery Agent.2. Configure la plantilla de certificado de Key Recovery Agent e inscriba el Key Recovery Agent en un certificado de Key Recovery Agent. Para obtener informacin, veaIdentificacin de un agente de recuperacin de claves (Key Recovery Agent).3. Registre el nuevo Key Recovery Agent con la CA. Para obtener informacin, veaHabilitacin del archivo de claves para una CA.4. Configure una plantilla de certificado (por ejemplo, un EFS bsico) para el archivo de claves e inscriba a los usuarios en el certificado nuevo. Si los usuarios ya tienen certificados EFS, asegrese de que el certificado nuevo reemplace el certificado que no incluye el archivo de claves. Para obtener informacin, veaConfiguracin de una plantilla de certificado para el archivo de claves.5. Inscriba a los usuarios en los certificados de cifrado basados en la plantilla de certificado nueva.Los usuarios no estn protegidos por el archivado de claves hasta que se inscriben en un certificado con la recuperacin de claves habilitada. Si ya tienen certificados idnticos emitidos antes de habilitar la recuperacin de claves, los datos cifrados con estos certificados no estn cubiertos por el archivado de claves.

Identificacin de un agente de recuperacin de claves (Key Recovery Agent)Un agente de recuperacin de claves (Key Recovery Agent) es un usuario con autorizacin para recuperar un certificado en nombre de un usuario final. Dado que el rol del Key Recovery Agent puede estar relacionado con informacin confidencial, solo debe asignarse este rol a los usuarios con un alto grado de confianza.Para identificar un Key Recovery Agent, debe configurar la plantilla de certificado de Key Recovery Agent para permitir a la persona a la que se asign este rol inscribirse en un certificado de Key Recovery Agent.El mnimo requerido para completar este procedimiento es la pertenencia aAdmins. del dominioo un grupo equivalente. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para configurar una plantilla de certificado de Key Recovery Agent1. Abra el complemento Plantillas de certificado.2. En el rbol de consola, haga clic con el botn secundario en la plantilla de certificadoKey Recovery Agent.3. Haga clic enPlantilla duplicada.4. En el cuadro de dilogoPlantilla duplicada, haga clic enWindows 2003 Server Enterprisea menos que todas las entidades de certificacin (CA) y equipos cliente estn ejecutando Windows Server2008R2, Windows Server2008, Windows7 o Windows Vista.5. EnPlantilla, escriba un nombre para mostrar nuevo para la plantilla y, a continuacin, modifique cualquier otra propiedad opcional segn sea necesario.6. En la fichaSeguridad, haga clic enAgregar, escriba el nombre de los usuarios para los que desea que se emitan los certificados de Key Recovery Agent y, a continuacin, haga clic enAceptar.7. EnNombre de grupos o usuarios, seleccione los nombres de usuario que acaba de agregar. EnPermisos, active las casillasLeereInscribiry, a continuacin, haga clic enAceptar.Nota

Para aumentar el nivel de seguridad y control del proceso de recuperacin de claves, no debe usar la inscripcin automtica para los certificados de Key Recovery Agent.

Para que el nuevo Key Recovery Agent se pueda inscribir para un certificado basado en la nueva plantilla de certificado creada, dicha plantilla se debe agregar primero a la CA. Para obtener informacin acerca de cmo completar este procedimiento, vea Agregar una plantilla de certificado a una entidad de certificacin (http://go.microsoft.com/fwlink/?LinkId=147110).Si el certificado se configur con permisos de lectura e inscripcin, el nuevo Key Recovery Agent debe usar el complemento Certificados y el Asistente para importacin de certificados para obtener un certificado de recuperacin de clave. Si la plantilla de certificado se configur con permisos de inscripcin automtica, el certificado se emitir automticamente la prxima vez que el usuario inicie sesin en la red.

Habilitacin del archivo de claves para una CAPara que un Key Recovery Agent pueda usar un certificado de recuperacin de clave, el Key Recovery Agent debe estar inscrito en el certificado de recuperacin de clave y registrado como agente de recuperacin para la entidad de certificacin (CA).Para completar este procedimiento, debe ser un administrador de CA. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para habilitar el archivo de claves para una CA1. Abra el complemento Entidad de certificacin.2. En el rbol de consola, haga clic en el nombre de la CA.3. En el menAccin, haga clic enPropiedades.4. Haga clic en la fichaAgentes de recuperaciny, a continuacin, haga clic enArchivar la clave.5. EnNmero de agentes de recuperacin que se utilizarn, escriba el nmero de agentes de recuperacin de claves (Key Recovery Agent) que se emplearn para cifrar la clave archivada.ElNmero de agentes de recuperacin que se utilizarndebe estar comprendido entre uno y el nmero de certificados de Key Recovery Agent configurados.6. Haga clic enAgregar. A continuacin, enSeleccin de Key Recovery Agent, haga clic en los certificados de recuperacin de clave y haga clic enAceptar.7. Los certificados deben aparecer en la listaCertificados de Key Recovery Agent, aunque su estado se incluye comoNo cargado.8. Haga clic enAceptaroAplicar. Cuando se le pida que reinicie la CA, haga clic enS. Una vez reiniciada la CA, el estado de los certificados se debe incluir comoVlido.La lista deCertificados de Key Recovery Agentpuede incluir los valores de estado y las causas de la siguiente tabla.EstadoCausa

ExpiradoLa fecha de expiracin del certificado ha pasado y el certificado no se puede usar.

No vlidoEl certificado no tiene un formato correcto o genera un error al cargarse.

No encontradoEl certificado se configur pero la CA no lo encuentra.

No cargadoEl certificado se configur pero la CA an no lo ha cargado.

RevocadoEl certificado se ha revocado y no se puede usar.

Que no es de confianzaLa CA no confa en la CA raz para este certificado.

VlidoLa CA ha cargado el certificado y funciona con normalidad.

Si el valor deNmero de agentes de recuperacin que se utilizarnes superior al nmero de certificados de agente de recuperacin con el estadoVlido, las solicitudes de inscripcin que requieren un archivo de claves generan un error.Configuracin de una plantilla de certificado para el archivo de clavesEl proceso de archivado de claves se realiza al emitir un certificado. Por consiguiente, se debe modificar una plantilla de certificado para archivar las claves y poder emitir los certificados basados en dicha plantilla.El uso del archivado de claves se recomienda especialmente con la plantilla del Sistema de cifrado de archivos (EFS) bsico para proteger a los usuarios frente a la prdida de datos, aunque tambin resulta til cuando se aplica a otros tipos de certificados.Para poder realizar este procedimiento, es necesario, como mnimo, pertenecer aAdmins. del dominio,Administradores de empresaso a otro grupo equivalente. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para configurar una plantilla de certificado para el archivo y la recuperacin de claves1. Abra el complemento Plantillas de certificado.2. En el panel de detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar y, a continuacin, haga clic enPlantilla duplicada.3. En el cuadro de dilogoPlantilla duplicada, haga clic enWindows Server 2003 Enterprisea menos que todas las entidades de certificacin (CA) y equipos cliente estn ejecutando Windows Server2008R2, Windows Server2008, Windows7 o Windows Vista.4. EnPlantilla, escriba un nombre para mostrar nuevo para la plantilla y, a continuacin, modifique cualquier otra propiedad opcional segn sea necesario.5. En la fichaSeguridad, haga clic enAgregar, escriba el nombre de los usuarios o grupos para los que desea que se emitan los certificados y, a continuacin, haga clic enAceptar.6. EnNombre de grupos o usuarios, seleccione los nombres de los usuarios o grupos que acaba de agregar. EnPermisos, active las casillasLeereInscribiry, si desea emitir el certificado automticamente, active tambin la casillaInscripcin automtica.Nota

Para implementar la inscripcin automtica, estas tres casillas deben estar seleccionadas.

7. En la fichaTratamiento de la solicitud, active la casillaArchivar clave privada de cifrado de sujeto.8. Si los usuarios ya tienen certificados EFS no configurados para el archivo y la recuperacin de claves, haga clic en la fichaPlantillas reemplazadas, haga clic enAgregary, a continuacin, haga clic en el nombre de la plantilla que desee reemplazar.9. Haga clic enAceptar.Los usuarios no estn protegidos por el archivado de claves hasta que se inscriben en un certificado con la recuperacin de claves habilitada. Si ya tienen certificados idnticos emitidos antes de habilitar la recuperacin de claves, no pueden disponer del archivado de claves. Los clientes deben volver a inscribirse para recibir un certificado basado en una plantilla modificada si ya tienen un certificado vlido basado en la plantilla antigua

Recuperacin de claves perdidasLos usuarios que pierdan una clave privada no pueden recuperar los datos cifrados con dicha clave. Si se recupera una clave y se restaura en el equipo cliente, se pueden usar y descifrar los datos.El proceso de recuperacin completo incluye tres procedimientos: Obtener el nmero de serie del certificado archivado. Realizar la recuperacin de clave. Restaurar la clave en el equipo cliente.El mnimo requerido para completar este procedimiento es la pertenencia aAdmins. del dominioo un grupo equivalente. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para obtener el nmero de serie de un certificado archivado1. Inicie sesin en el equipo que hospeda la entidad de certificacin (CA).2. Abra el complemento Entidad de certificacin.3. En el rbol de consola, haga clic en el nombre de la CA y, a continuacin haga clic enCertificados emitidos.4. En el menVer, haga clic enAgregar o quitar columnas.5. EnColumnas disponibles, haga clic enClave archivaday, a continuacin, haga clic enAgregar.Clave archivadadebeaparecer ahora enColumnas mostradas.6. Haga clic enAceptary, a continuacin, en el panel de detalles, desplcese a la derecha para confirmar que el ltima certificado emitido para el usuario tiene el valorSen la columnaClave archivada.7. Haga doble clic en el certificado.8. Haga clic en la fichaDetalles. Registre el nmero de serie del certificado. (No incluya espacios entre los pares de dgitos). Necesitar esta informacin para completar el procedimiento de recuperacin.El nmero de serie ser una cadena hexadecimal con 20caracteres de longitud. El nmero de serie de la clave privada es el mismo que el nmero de serie del certificado. En este procedimiento, el nmero de serie se llamaserialnumber.9. Haga clic enAceptary cierre el complemento Entidad de certificacin.10. En un smbolo del sistema, escriba:11. Certutil-getkeyoutputblobNota

La seccin de informacin del destinatario del resultado de este comando identifica los nmeros de serie de los certificados de Key Recovery Agent cuyas claves privadas son necesarias para descifrar el blob y recuperar la clave.

12. En un smbolo del sistema, escriba:13. dir outputblobNota

Si el archivooutputblobno existe, es posible que haya escrito incorrectamente el nmero de serie para el certificado. El archivooutputblobes un archivo PKCS #7que contiene los certificados de Key Recovery Agent y el certificado y la cadena de usuario. El contenido interno es un archivo PKCS #7 cifrado que contiene la clave privada (cifrada para los certificados de Key Recovery Agent).

El administrador del dominio puede transferir el archivo de salida al Key Recovery Agent, quien realiza el procedimiento de recuperacin.Debe ser un usuario con un certificado de Key Recovery Agent registrado con la CA para completar este procedimiento. El Key Recovery Agent se debe almacenar en el almacn de certificados personal del Key Recovery Agent del equipo en que se va a realizar el procedimiento de recuperacin de claves. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para recuperar el certificado archivado1. En un smbolo del sistema, escriba:2. Certutil-recoverkeyoutputblob.pfx3. Cuando se le pida, escriba una contrasea nueva. Cuando se le pida, escriba la contrasea nueva por segunda vez para confirmarla.4. Copie el archivo .pfx guardado en el equipo donde se va a realizar la recuperacin.5. Cierre todas las ventanas y cierre la sesin en el equipo.Una vez recuperada la clave, se debe importar al equipo en que estn almacenados los datos.Debe ser el cliente para el que se emite el certificado o un administrador del equipo cliente para completar este procedimiento. Para obtener ms informacin, veaImplementacin de la administracin basada en funciones.Para importar la clave recuperada1. Abra el complemento Certificados para el usuario para el que se emiti el certificado.2. En el rbol de consola, haga clic con el botn secundario enPersonal, haga clic enTodas las tareasy, a continuacin, haga clic enImportar.3. En el Asistente para importacin de certificados, haga clic enSiguiente.4. EnNombre de archivo, escriba la ruta de acceso y el nombre del archivo .pfx y, a continuacin, haga clic enSiguiente.5. EnContrasea, escriba la contrasea especificada en el procedimiento anterior y haga clic enSiguiente.6. En la pginaAlmacn de certificados, haga clic enSeleccionar automticamente el almacn de certificados en base al tipo de certificadoy, a continuacin, haga clic enSiguiente.7. En la pginaFinalizacin del Asistente para importacin de certificados, haga clic enFinalizar.8. Para comprobar si el certificado recuperado se ha importado correctamente, en el rbol de consola, haga doble clic enPersonaly,a continuacin, haga clic enCertificados.9. Haga doble clic en el certificado. Haga clic en la fichaDetallesy compruebe si el nmero de serie coincide con el original.Consideraciones adicionales Para abrir un smbolo del sistema, haga clic enInicio, seleccioneTodos los programas, haga clic enAccesoriosy, a continuacin, haga clic enSmbolo del sistema.

6