引言：在系統(tǒng)管理中常會丟失數(shù)據(jù)。這就要求管理員采取各種方法找回，如使用系統(tǒng)自帶的代理恢復功能。本文以Windows Server 2012為例，來說明具體的實現(xiàn)方法。

使用EFS代理恢復加密文件

使用EFS進行加密的原理并不復雜，在系統(tǒng)中生成一個加密密鑰，然后該密鑰通過用戶的證書，對文件進行加密處理。所以用戶的證書是很重要的，如果用戶誤刪或者丟失證書，則加密的文件就無法打開了。

在域環(huán)境中，可以利用恢復代理功能，即使用戶丟失了證書，也可以允許指定的用戶來恢復加密文件。一般情況下，可以使用管理員賬戶，來管理恢復代理功能。當然，在域中需要配置好證書服務器。以域管理員身份登錄系統(tǒng)，執(zhí)行“mmc”命令，在控制臺窗口中點擊菜單“文件”→“添加/管理單元刪除”項，在彈出窗口左側(cè)列表中選擇“證書”項，點擊“添加”按鈕，選擇“我的用戶賬戶”項，點擊完成按鈕，在控制臺左側(cè)點擊“證書”→“個人”項，在其右鍵菜單上點擊“所有任務”→“申請新證書”項，在向?qū)Ы缑嬷悬c擊下一步按鈕，選擇“Active Directory注冊策略”項，在下一步窗口（如圖1）中選擇“EFS故障恢復代理”項，點擊注冊按鈕，當注冊成功后，點擊完成按鈕，返回控制臺窗口。

圖1 注冊代理恢復證書

圖2 添加數(shù)據(jù)恢復證書

打開組策略窗口，在左側(cè)打開“林”→“域”→“具體的域名”，在“Default Domain Policy”項的右鍵菜單上點擊“編輯”項，在打開窗口左側(cè)選擇“計算機配置”→“策略”→“Windows設置”→“安全設置”→“公鑰策略”→“加密文件系統(tǒng)”項。在默認情況下，系統(tǒng)已經(jīng)指定了一個恢復代理，使用的自簽名的證書，頒發(fā)者是管理員。將該恢復代理刪除，在“加密文件系統(tǒng)”項的右鍵菜單上點擊“創(chuàng)建數(shù)據(jù)恢復代理程序”項，添加所需的證書（如圖2）。在 CMD 窗口中執(zhí)行“gpupdate/force”命令，來刷新組策略。執(zhí)行“rsop.msc”程序，在策略的結(jié)果集窗口左側(cè)選擇“計算機 配 置”→“Windows設置”→“安全設置”→“公鑰策略”→“加密文件系統(tǒng)”項，在右側(cè)可以看到上述申請的證書。這樣就配置好了EFS代理服務功能。

實際上，在該加密文件屬性窗口的常規(guī)面板中點擊“高級”項，在“壓縮或加密屬性”欄中點擊“詳細信息”按鈕，在彈出窗口中的“由恢復策略定義的此文件的恢復證書”欄中顯示用來恢復加密文件的證書信息。當然，作為恢復代理人，需要將管理員證書導出備份，運行“certmgr.msc”程序，在證書管理器中選擇“證書”→“個人”項，在其右鍵菜單上點擊“所有任務”→“導出”項，之后按照提示選擇“是，導出私鑰”項，輸入密碼后，將證書備份為獨立的“.pfx”文件。

使用密鑰代理恢復用戶證書

在活動目錄證書中，可使用密鑰代理來恢復用戶的證書。在域控制器上安裝有Active Directory證書服務，可以用來頒發(fā)證書。在實現(xiàn)恢復操作之前，需要申請密鑰恢復代理證書。以域管理員身份登錄系統(tǒng)，在證書頒發(fā)機構(gòu)管理窗口左側(cè)選擇“具體的域名”→“證書模板”項，在右側(cè)窗口的右鍵菜單中點擊“新建”→“要頒發(fā)的證書模板”項，在啟用證書模板窗口（如圖3）中選擇“密鑰恢復代理”項，點擊確定按鈕保存配置信息，即可以管理員身份申請所需的證書。

圖3 啟用證書模板窗口

圖4 查看證書序列號

圖5 設置證書屬性

運行“mmc”程序，在控制臺窗口中點擊菜單“文件”→“添加/管理單元刪除”項，在彈出窗口左側(cè)列表中選擇“證書”項，點擊“添加”按鈕，選擇“我的用戶賬戶”項，點擊完成按鈕，在控制臺左側(cè)點擊“證書”→“個人”項，在其右鍵菜單上點擊“所有任務”→“申請新證書”項，在向?qū)Ы缑嬷悬c擊下一步按鈕，選擇“Active Directory注冊策略”項，在下一步窗口中選擇“密鑰恢復代理”項，點擊注冊按鈕，執(zhí)行證書申請操作。在獲得的證書右側(cè)點擊“詳細信息”項，在彈出面板中點擊“查看證書”按鈕，在其屬性窗口中的“詳細信息”面板中選擇“序列號”項，可以查看其序列號信息（如圖4）。

證書申請完畢后，在證書頒發(fā)機構(gòu)窗口中，在左側(cè)選擇域名項目，在其右鍵菜單中點擊“屬性”項，在彈出窗口（如圖5）中打開“恢復代理”項，在其中選擇“存檔密鑰”項，因為我們只申請了一張代理證書，所以在“要恢復的代理數(shù)目”欄中設置為1，點擊“添加”按鈕，選擇上述證書，將其添加到密鑰恢復代理證書列表中，之后系統(tǒng)會提示需要重啟Active Directory證書服務。當重啟完畢后，在上述證書中的“狀態(tài)”列中顯示“未加載”信息，為此，可以在窗口左側(cè)選擇證書服務器名，在其右鍵菜單上分別點擊“所有任務”→“停止服務”和“啟動服務”項，手工啟動證書服務，之后就可以看到證書已經(jīng)變成了有效狀態(tài)。

當恢復代理配置完成后，就可以來恢復用戶證書了。例如，在“證書模板”項的右鍵菜單上點擊“管理”項，在證書模板中選擇“用戶”項，在其右鍵菜單上點擊“復制模板”項，在彈出窗口中點擊確定按鈕，在新模板的屬性窗口中的“常規(guī)”面板中輸入其顯示名稱，在“請求”面板（如圖6）中的“目的”列表中選擇“簽名和加密”項，選擇“包括使用者允許的對稱算法”，“把使用者的加密私鑰存檔”，“使用高級對稱算法將密鑰發(fā)送給CA”等項，點擊應用按鈕保存配置信息。在證書模板窗口的右鍵菜單中點擊“新建”→“要頒發(fā)的證書模板”項，在彈出窗口中選擇“用戶的副本”項，點擊確定按鈕，添加用戶證書模板。

在控制臺左側(cè)點擊“證書”→“個人”項，在其右鍵菜單上點擊“所有任務”→“申請新證書”項，在向?qū)Ы缑嬷械摹罢埱笞C書”窗口中選擇“用戶的副本”項，執(zhí)行該證書的申請操作。之后在證書列表中可以看到該證書。如果管理員因為誤操作，將該證書刪除就可以使用密鑰恢復代理功能，來恢復該證書。方法是在證書頒發(fā)機構(gòu)窗口左側(cè)選擇“證書服務器名稱”→“頒發(fā)的證書”項，在右側(cè)窗口選擇上述使用“用戶”模板申請的證書，在屬性窗口中的“詳細信息”面板中復制其序列號。

在CMD窗口中執(zhí)行“certutil–getkey 具 體的序列號 huifu.p7b”，注意序列號中的空格應該刪除。之后將其保存到名為“huifu.p7b”的文件中，該文件名稱可自行設置。執(zhí)行“certutil–recoverkey huifu.p7b huifu.pfx”命令，將導出為帶有私鑰的證書文件“huifu.pfx”。在“輸入新密碼”欄中輸入新的密碼來保護該證書。當出現(xiàn)“CertUtil： RecoverKey 命令成功完成”的信息后，在上述選擇“證書”→“個人”項，在其右鍵菜單上點擊“所有任務”→“導入”項，按照操作向?qū)У奶崾荆x擇上述“huifu.pfx”證書文件，輸入密碼。執(zhí)行證書導入操作。這樣就找回誤刪證書。

圖6 設置新模板屬性