Назад | Перейти на главную страницу

Где центр сертификации Windows хранит свой корневой закрытый ключ?

У меня есть корневой центр сертификации Windows Server 2012 R2 Enterprise на виртуальной машине Hyper-V, которая, по неизвестным причинам, больше не загружается.

Я не знаю, вернется ли виртуальная машина когда-нибудь в сеть, но я знаю, что у меня есть ее виртуальный диск, и он, кажется, не поврежден; Я могу установить его в другой системе и получить доступ ко всему ее содержимому.

Я бы хотел перестроить ЦС на новой виртуальной машине, и я привык к этому процессу, поскольку раньше выполнял множество миграций ЦС; Я знаю, где найти базу данных центра сертификации (C:\Windows\system32\certlog), и как скопировать его во вновь созданный центр сертификации.

Я не знаю, где хранится корневой сертификат ЦС? Мне понадобится его закрытый ключ, чтобы восстановить CA, но я не знаю, где его найти на виртуальном диске отказавшего CA.

Вы не можете восстановить ключ CA с автономного компьютера. Причин две:

  1. Ссылка на ключ несколько сложна, поэтому трудно найти фактическое имя файла закрытого ключа. В вашем случае файл закрытого ключа находится в: %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys
  2. даже если вам удастся идентифицировать имя файла, вы не сможете просто скопировать файл на другой компьютер и восстановить пару ключей, потому что закрытый ключ локально защищен DPAPI, и вы не сможете расшифровать зашифрованный ключ на другом компьютере.

Если бы вы могли запустить компьютер хотя бы в безопасном режиме (или в режиме сохранения с командной строкой), вы могли бы легко определить имя файла и попытаться экспортировать ключ в PFX).