隨著Win 2000/XP的普及,NTFS分區(qū)格式也逐漸普及起來。很多朋友用Win 2000/XP自帶的EFS(加密文件系統(tǒng))把一些重要數(shù)據(jù)加密保存。但是,重裝系統(tǒng)后如果沒有原來備份的個(gè)人加密證書和密鑰文件,被加密的文件將不能訪問(包括復(fù)制),甚至不允許刪除(只能通過格式化的方法刪除)。所以數(shù)字證書的備份和恢復(fù)就顯得十分重要了。
一、備份數(shù)字證書
在“開始→運(yùn)行”中鍵入“MMC”,打開“控制臺(tái)”,點(diǎn)擊“文件→添加/刪除管理單元”,然后單擊“添加”,在“管理單元”欄中雙擊“證書”,彈出“證書管理單元”窗口;如果以非管理員用戶登錄,“證書”將自動(dòng)加載;如果作為管理員登錄,單擊“我的用戶賬戶”,然后單擊“完成”。回到“控制臺(tái)根節(jié)點(diǎn)”,一般個(gè)人證書會(huì)放在“個(gè)人”和“受信任人”分支下,因此要備份數(shù)字證書就需要到這些分支下查看或?qū)ふ?。選中某個(gè)證書,在右側(cè)窗格的“預(yù)期目的”欄可以了解到頒發(fā)證書的目的,比如“文件加密系統(tǒng)”等。右擊該證書,選擇“所有任務(wù)→導(dǎo)出”,打開“證書導(dǎo)出向?qū)А?,然后按照提示操作即可?
提示:1.建議在“導(dǎo)出私鑰”窗口(該選項(xiàng)僅在私鑰標(biāo)記為可導(dǎo)出且可以使用私鑰時(shí)才顯示,比如文件加密系統(tǒng)的數(shù)字證書)中選擇“不,不要導(dǎo)出私鑰”。否則還需要輸入保護(hù)導(dǎo)出私鑰的密碼,這樣,在恢復(fù)此證書時(shí)還需要提供該密碼。
2.如果只需要備份文件加密系統(tǒng)的數(shù)字證書,可以采取“證書目的”查看方式(選中“證書-當(dāng)前用戶”,點(diǎn)擊“查看→選項(xiàng)”,在“查看模式”欄中勾選“證書目的”項(xiàng)即可);然后在“控制臺(tái)根節(jié)點(diǎn)”窗口中選擇“加密文件系統(tǒng)”分支,在右側(cè)窗口中找到相應(yīng)的加密文件數(shù)字證書,按照上述方式直接導(dǎo)出即可。
3.如果只是想導(dǎo)出當(dāng)前用戶自己的證書(而不是要作為管理員管理各類證書),可以在IE中點(diǎn)擊“工具→Internet選項(xiàng)”,進(jìn)入“內(nèi)容”選項(xiàng)卡,點(diǎn)擊“證書”按鈕,在打開的“證書”窗口中選中要導(dǎo)出的證書,然后按照上述方法導(dǎo)出。一個(gè)快捷的方法是:選中要導(dǎo)出的證書,直接用鼠標(biāo)將它拖曳到存放證書的文件夾里。
二、恢復(fù)數(shù)字證書
1.直接恢復(fù)
打開“證書-當(dāng)前用戶”分支,選中要導(dǎo)入證書的邏輯存儲(chǔ)區(qū)域(查看方式為“邏輯證書存儲(chǔ)”),比如“個(gè)人”,單擊右鍵,選擇“所有任務(wù)→導(dǎo)入”,打開“證書導(dǎo)入向?qū)А?,按照提示即可完成證書導(dǎo)入。
如果導(dǎo)入的是具有保護(hù)密碼的證書,則還需要輸入相應(yīng)的密碼。當(dāng)然,我們也可以在IE中操作,點(diǎn)擊“工具→Internet選項(xiàng)”,進(jìn)入“內(nèi)容”選項(xiàng)卡,點(diǎn)擊“證書”按鈕,然后導(dǎo)入相應(yīng)的數(shù)字證書。
2.指定恢復(fù)代理
打開“控制面板→管理工具→本地安全策略”,在“公鑰策略→正在加密的文件系統(tǒng)”上單擊右鍵,選擇“添加數(shù)據(jù)恢復(fù)代理”,通過“故障恢復(fù)代理向?qū)А边x擇作為代理的用戶或該用戶的具有故障恢復(fù)證書的CER文件。
當(dāng)恢復(fù)加密數(shù)據(jù)時(shí),首先以被指定的作為數(shù)據(jù)恢復(fù)代理的用戶登錄計(jì)算機(jī),將該代理用戶的具有故障恢復(fù)功能的證書導(dǎo)入計(jì)算機(jī)(具體導(dǎo)入方法同上),然后在需要恢復(fù)的數(shù)據(jù)(文件或文件夾)上單擊右鍵,選擇“屬性”,在“常規(guī)”選項(xiàng)卡中單擊“高級(jí)”,取消“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框即可將加密的數(shù)據(jù)恢復(fù)。
你知道嗎?數(shù)字證書
數(shù)字證書也被稱作CA證書(簡(jiǎn)稱證書),實(shí)際上是一串很長(zhǎng)的編碼,包括證書申請(qǐng)者的名稱及相關(guān)信息、申請(qǐng)者的公鑰、簽發(fā)證書的CA的數(shù)字簽名及證書的有效期等內(nèi)容,通常保存在電腦硬盤或IC卡中。數(shù)字證書一般由CA認(rèn)證中心簽發(fā),證明證書主體(“證書申請(qǐng)者”獲得CA認(rèn)證中心簽發(fā)的證書后即成為“證書主體”)與證書中所包含的公鑰的唯一對(duì)應(yīng)關(guān)系。因?yàn)榧用苓^程不可逆,只有用私鑰才能解密,所以數(shù)字證書的管理尤其重要。在實(shí)際操作中,一般采用備份或者指定證書恢復(fù)代理的方法。