Key Recovery Agent Yapılandırması Ve EFS Private Key’in Kaybolması Durumunda Sertifika Kurtarma Uygulaması

HAZIRLIK

Key Recovery Agent Sertifika Rolü’nün bir özelliğidir. Bu özelliği kullanmadan önce Certificate Services kurulumu ve yapılandırmasını yapmalıyız. Certificate Services kurulumuyla ilgili makaleye buradan ulaşabilirsiniz.








KRA YAPILANDIRMASI

Server Manager'da Tool menüsünden AD Certificate Authority açıyoruz. Konsol içerisinde Certificate Template’e sağ tıklayarak New-> Certificate Template to Issue tıklıyoruz.





Key Recovery Agent seçiyoruz.




Run -> mmc ile MMC konsolu açıyoruz. File – Add/Remove Snap in.. tıklıyoruz.




Certificate seçiyoruz.




My user account seçiyoruz.




Certificates’e sağ tıklayıp Request New Certificate diyoruz.




Key Recovery Agent seçip Enroll diyoruz.



Certificate Authority konsolunu açıyoruz. Pending Requests içindeki sertifika talebini sağ tuş Issue diyerek onaylıyoruz.




Certificate Authority konsolunda Domain adına sağ tuş Properties tıklıyoruz.



Recovery Agents sekmesine geçip Archive the key işaretliyoruz. Add ile sertifikaları görüyoruz.




 Bir önceki ekranda sertifika altında bulunan View Certificate Properties ile Key Recovery Agent özelliğine sahip sertifikayı tespit ediyoruz ve seçip ekliyoruz. 




Apply dediğimizde hizmeti yeniden başlatmak isteyecek. Yes diyerek kabul ediyoruz.





Şimdi Group Policiy Management’ı açıyoruz. Yeni bir policy oluşturuyoruz. Policy ayarlarında aşağıdaki bölüme girip Auto Enrollment ayarını Enabled olarak değiştiriyoruz.



Kutuları işaretliyoruz ve kaydederek çıkıyoruz.




Certificate Authority konsolunda Certificate Templates’a sağ tıklayıp Manage diyoruz. User’a sağ tıklayıp Duplicate Template diyoruz.





Template’e isim veriyoruz. Geçerlilik süresini belirliyoruz. Publish’i işaretliyoruz ve Apply diyoruz.





Request Handling sekmesinde Archive subject’s encryption private key kutusunu işaretliyoruz sonucu görüyoruz.




Superseded Templates sekmesinde Add diyerek Basic EFS ve User templatelerini seçiyoruz.




Eklediğimizde aşağıdaki şekilde gözüküyor.




Security kısmında Domain Users’a Read, Enroll ve Autoenroll hakkını Allow kısmından veriyoruz.




Subject Name kısmında Email name kutusunun işaretini kaldırıyoruz. Çünkü sistemimizde exchange bulunmuyor ve mail adresi yok. Apply diyerek kaydediyoruz.




Certificate Authority konsolunda Certificate Templates’a sağ tıklayarak New Certification Template to Issue seçiyoruz. Buradan az önce oluşturduğumuz Key Recovery Agent template’ini seçiyoruz.





İşlemlerin diğer cihazlara hızlıca uygulanması için
Cmd üzerinden gpupdate /force komutunu çalıştırıyoruz.



KRA ile Kaybolan Sertifikayı Geri Getirme

Windows 7 client pc üzerinde oluşturduğumuz kullanici@logo.comp kullanıcısıyla oturum açıyoruz. Bir klasör içerisinde txt dosyası oluşturup şifrele seçeneğiyle şifreliyoruz.
Test için Domain Admin ile Windows 7’ye giriş yapıp dosyayı açmayı deniyoruz ve Acces Denied uyarısı alıyoruz.
Şimdi şifreli dosya için oluşturulan sertifikayı sileceğiz.

Windows 7 üzerinde MMC konsolda Certificate’i açıp. Certificates içindeki sertifikaya sağ tıklayıp delete diyoruz. Ve oturumu kapatıp tekrar açıyoruz.





 Dosyayı şifreleyen LOGO\kullanici ile oturum açtığımız halde şifreli dosyayı açamıyoruz. Çünkü sertifikası kayboldu.





CA sunucusuna geçiyoruz. CA konsolunda Issued Certificates kısmında kullanıcı adına oluşturulan sertifikanın özelliklerini açıp Details sekmesinden Serial Number’ını alıyoruz.




Cmd açıyoruz. certutil –getkey yazıp sonrasında aldığımız seri numarayı arasında boşluk olmayacak şekilde sonuna ekliyoruz. Seri no sonuna kurtar.blob yazıyoruz. C:\users\administrator altına kurtar.blob dosyası kaydecek.




Cmd’de Certutil – recoverykey kurtar.blob kullanici.pfx komutunu çalıştırıyoruz. 




Bu komut sonrası şifre istiyor. Şifreyi iki defa girerek devam ediyoruz.



Kurtarma için kullanacağımız Kullanici.pfx dosyası oluştu. Bu dosyayı Windows 7 client pc üzerine kopyalamamız gerekiyor.




Windows 7 makinasına dosyayı kopyaladıktan sonra açıyoruz. Next diyerek devam ediyoruz.



Az önce oluşturduğumuz şifreyi giriyoruz. Aşağıdaki işaretlenen kutuları işaretliyoruz.




Certificate Store kısmında ikinci seçeneği seçerek Browse üzerinden Personel’i seçiyoruz.





İşlemi tamamlayıp oturumu kapatıyoruz. Tekrar oturum açtığımızda şifrelediğimiz dosyayı açabiliyoruz.