Witam, mam takie pytanie/problem:

Jest sobie CA na 2008. Mam konto kra do odzyskiwania kluczy oraz konto certadmin do exportu pliku blob.

Jeżeli użytkownik otrzyma certyfikat, jego klucz zostanie zarchiwizowany i powiedzmy po roku chcę odzyskac klucz prywatny uzytkownika to wykonujac polecenie certutil -getkey serialnumber c:\test.blob, to w wyniku otrzymuje min.  recipient info wskazanie na konto kra i numer seryjny certyfikatu kra np ...001.

Jeżeli teraz po w/w roku od daty wystawienia certyfikatu dla użytkownika, certyfikat kra musial zostac odnowiony, to nowy certyfikat bedzie mial inny nr seryjny czyli np ...029. W konfiguracji CA (key recovery agent certyficates) jest teraz tylko ten jeden zaktualizowany certyfikat kra z nowym numerem seryjnym.

Jeżeli chcę wyeksportować klucz prywatny kontem kra (tym z zaktualizowanym certyfikatem) to otrzymuje błąd, gdyz nie posiadam (ca nie posiada certyfikatu z numerem seryjnym ...001).

Jeżeli natomiast chcę wyeksportowac klucz użytkownika mającego przypisany ten nowy numer seryjny z certyfikatu kra, czyli ...029 wszystko idze bez problemu.

 

I tu zasadnicze pytanie: jak ustawic konto kra/CA/certyfikaty kra, aby za rok, dwa, pięć można było uzywać tego samego konta kra wraz z nowymi certyfikatami do odzyskiwania kluczy uzytkowników mających przypisane różne numery seryjne certyfikatów kra.

 

Czy wystarczy że w key recovery agent certyficates będę mial wszystkie certyfikaty - nawet te z przed dwóch czy pięciu lat posiadające status "expired"

 

Dzieki za pomoc.