随着Win 2000/XP的普及,NTFS分区格式也逐渐普及起来。很多朋友用Win 2000/XP自带 的EFS(加密文件系统)把一些重要数据加密保存。但是,重装系统后如果没有原来备份的个人加密证书和密钥文件,被加密的文件将不能访问(包括复制),甚至不允许删除(只能通过格式化的方法删除)。所以数字证书的备份和恢复就显得十分重要了。
什么叫数字证书?
数字证书也被称作CA证书(简称证书),实际上是一串很长的编码,包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容,通常保存在电脑硬盘或IC卡中。数字证书一般由CA认证中心签发,证明证书主体(“证书申请者”获得CA认证中心签发的证书后即成为“证书主体”)与证书中所包含的公钥的惟一对应关系。因为加密过程不可逆,只有用私钥才能解密,所以数字证书的管理尤其重要。在实际操作中,一般采用备份或者指定证书恢复代理的方法。
一、备份数字证书
在“开始→运行”中键入“MMC”,打开“控制台”,点击“文件→添加/删除管理单元”,然后单击“添加”,在“管理单元”栏中双击“证书”,弹出“证书管理单元”窗口;如果以非管理员用户登录,“证书”将自动加载;如果作为管理员登录,单击“我的用户帐户”,然后单击“完成”。回到“控制台根节点”,一般个人证书会放在“个人”和“受信任人”分支下,因此要备份数字证书就需要到这些分支下查看或寻找。选中某个证书,在右侧窗格的“预期目的”栏可以了解到颁发证书的目的,比如“文件加密系统”等。右击该证书,选择“所有任务→导出”,打开“证书导出向导”,然后按照提示操作即可。
提示:
1.建议在“导出私钥”窗口(该选项仅在私钥标记为可导出且可以使用私钥时才显示,比如文件加密系统的数字证书)中选择“不,不要导出私钥”。否则还需要输入保护导出私钥的密码,这样,在恢复此证书时还需要提供该密码。
2.如果只需要备份文件加密系统的数字证书,可以采取“证书目的”查看方式(选中“证书-当前用户”,点击“查看→选项”,在“查看模式”栏中勾选“证书目的”项即可);然后在“控制台根节点”窗口中选择“加密文件系统”分支,在右侧窗口中找到相应的加密文件数字证书,按照上述方式直接导出即可。
3.如果只是想导出当前用户自己的证书(而不是要作为管理员管理各类证书),可以在IE中点击“工具→Internet选项”,进入“内容”选项卡,点击“证书”按钮,在打开的“证书”窗口中选中要导出的证书,然后按照上述方法导出。一个快捷的方法是:选中要导出的证书,直接用鼠标将它拖曳到存放证书的文件夹里。
二、恢复数字证书
1.直接恢复
打开“证书-当前用户”分支,选中要导入证书的逻辑存储区域(查看方式为“逻辑证书存储”),比如“个人”,单击右键,选择“所有任务→导入”,打开“证书导入向导”,按照提示即可完成证书导入。
如果导入的是具有保护密码的证书,则还需要输入相应的密码。当然,我们也可以在IE中操作,点击“工具→Internet选项”,进入“内容”选项卡,点击“证书”按钮,然后导入相应的数字证书。
2.指定恢复代理
打开“控制面板→管理工具→本地安全策略”,在“公钥策略→正在加密的文件系统”上单击右键,选择“添加数据恢复代理”,通过“故障恢复代理向导”选择作为代理的用户或该用户的具有故障恢复证书的CER文件。
当恢复加密数据时,首先以被指定的作为数据恢复代理的用户登录计算机,将该代理用户的具有故障恢复功能的证书导入计算机(具体导入方法同上),然后在需要恢复的数据(文件或文件夹)上单击右键,选择“属性”,在“常规”选项卡中单击“高级”,取消“加密内容以便保护数据”复选框即可将加密的数据恢复。