none
How to recover certificate using expired Key Recovery Agent? RRS feed

  • Dotaz

  • Hi, I would like recover user certificate from Microsoft PKI CA. But user certificate which I want recover was archived with no longer valid KRAgent. Person who is KRA has both certificate and private keys installed old expired and new valid. It looks like certutil can't use the old one expired KRA certificate. How can I resolve this? Thank you Radek
    pondělí 7. prosince 2020 10:26

Odpovědi

  • Opravdu spravne je pri obnove KRA certifikatu obnovit se STEJNYM klicem. Dle postupu v URL vyse. Pak takove problemy nenastanou a vse bude standardni.

    A dalsi takovou spravnou veci je to udelat vcas.

    To je vse :)

    • Upravený Miroslav Tiser středa 9. prosince 2020 13:47
    • Označen jako odpověď JRadek čtvrtek 21. ledna 2021 14:00
    středa 9. prosince 2020 13:45

Všechny reakce

  • Pis cesky, si v ceskych forech.

    Jesli byl KRA certifiakt propadly v dobe tvoreni  uzivatelskeho certifikatu, pak se privatni klic nezalohoval. Pokud se pouziva KRA, pak dusledne dbat na jeho obnovu.

    Viz https://docs.microsoft.com/en-us/archive/blogs/pki/understanding-key-archival

    CA will not use an expired KRA certificate to encrypt new incoming private keys for archival. The CA administrator must ensure that the KRA certificates are valid while key recovery is enabled. Therefore it is highly recommended to watch out for event 127 ("Key recovery certificate %1 is about to expire soon and will not be used upon expiration. Contact your administrator to renew this certificate.  %2  %3") which warns about a soon expiry of a KRA certificate.

    Nebo jeste jinak. Pokud si KRA uzivatel udelal obnovu KRA klice, ale tento neni nastaveny v CA, pak je tato obnova stejne k nicemu.

    Zkus popsat tvuj problem cesky.

    pondělí 7. prosince 2020 11:31
  • Pane Tiser, dekuji za reakci. Pokusím se to formulovat jinak.

    KRA certifikat v dobe vytvoreni uzivatelskeho certifikatu, který chci obnovit propadly nebyl.  Problem je v tom, ze puvodni KRA certifikat nebyl obnoven, ale byl vytvoren zcela novy pro stejneho uzivatele. Pricemz uzivatel ktery je recovery agentem ma tedy nyni v ulozisti certifikatu oba certifikaty jak propadly tak novy s privatnimi klici. Jenze certutil asi defaultne pro restore kouka pouze po validnich certifikatech a ten stary expirovany ignoruje, protoze dostavam chybu: 

    CertUtil: -RecoverKey command FAILED: 0x8009200c (-2146885620 CRYPT_E_NO_DECRYPT_CERT)
    CertUtil: Cannot find the certificate and private key to use for decryption.

    I když uživatel, ktery certutil spousti je drzitelem pozadovaneho stareho KRA certifikatu i s privatnim klicem.

    dik

    Radek

    úterý 8. prosince 2020 8:42
  • Jestli spravne chapu: mate binarni blob od CA zakryptovany propadlym certem.

    Co brani stary /propadly KRA certifikat prenest do jineho profilu vcetne privatniho klice - aby tam byl jedniny KRA cert - a tam udelat dekrypt?

    úterý 8. prosince 2020 9:47
  • Ehm, brání tomu to, že byl privátní klíč nastaven jako neexportovatelný a jeho zálohu nemám. Je jen v uložišti certifikátů toho uživatele, který má oba KRA certifikáty...
    úterý 8. prosince 2020 12:12
  • Zuper. A co budes delat, az  prijdes o profil?
    Existuji technologie, jak "neexportovany" certifikat vyexportovat.

    Nicmene jsem dohledal, co si asi nechtel slyset.

    https://docs.microsoft.com/en-us/archive/blogs/pki/understanding-key-archival

    You may assume, that the CA is doing an implicit re-encryption of the already archived private keys when a new KRA certificate is added to the CA configuration but it’s not!

    a obdobne https://www.b-blog.info/en/archiving-and-recovering-private-key-in-microsoft-certificate-authority.html

    Uplne na konci: How do you think can you recover archived keys with KRA(b)? The answer is: No, you cant. Thats why you must watch careful for the KRA certificate expiration period to renew it. And very important that you must renew it with the existing private key of KRA certificate.

    Proste KRA delat s dlouhou platnosti a dbat na spravnou "udrzbu".
    viz opet citace s MS DOKu

    The following practices are recommended when dealing with KRA certificates and keys:

    • define the number of KRA certificates before enabling key recovery and do not add or remove KRA certificates randomly at a later time
    • use longer certificate validity times for KRA certificates to keep the number of renewals at a low level
    • renew KRA certificates before they expire with an existing key
    • watch out for event 127 in the event log. The event was introduced with Windows Server 2008.
    • think about the key storage for KRA keys. User profiles can be lost. If the only copy of a KRA key is stored in a user profile, you may loose the capability to recover private keys

    Zkus, ze umis obnovit alespon "nove" certifikaty.

    Osobne mi taky hlava nebere, ze programator CA a certutil to vyresil "po svem".  Oba KRA klice mas, jestli tedy spravne chapu DOKu, dostanes binarni blob z DB, ktery byl zasifrovan "tim starym KRA" . Muzes zkusit "ten aktualni" KRA nekam schovat - treba presunout do root certifikatu.

    Ale bez zalohy certifikatu je to trochu za hranou. Zkus se projit po internetu a "neexportovatelne" predtim vyexportovat.

    Ale obavam se, ze problem neni na strane CA (ktere ti proste doda blob konkretniho SN certifikatu), ale na strane certutil, ktere IMHO potrebuje platny KRA cert.

    EDIT: a to me privadi k hrisne myslence... recovery je offline proces. Proste mas blob a ten chces pres certutil desifrovat. Pokud se ti povede (bez ztraty kyticky) mit v systemu jen ten stary KRA cert, co se takhle vratit v case? Certitil ma svuj blob, KRA cert je casove platny... co vic si prat...


    úterý 8. prosince 2020 14:48
  • Diky za velkou snahu pomoci, toho si cenim.  Nastesti to pro mne neni kriticke, slo mi spis o to prijit na to jak to udelat, kdyby to bylo opravdu nutne. A pripadne se naucit jak se na to lepe dopredu pripravit. 

    Teoreticky by to mnelo jit nejak standardne, jsem si myslel. Hlavni chyba je v tom, ze nemam ten stary privatni klic odzalohovany.

    Vim i o tech moznostech jak ziskat nexportovatelny certifikat. Ta schovka mne taky napadla, mozna by to stacilo i beze zmeny data...

    I tak mi Vase rady dost pomohli diky. Radek

    středa 9. prosince 2020 13:22
  • Opravdu spravne je pri obnove KRA certifikatu obnovit se STEJNYM klicem. Dle postupu v URL vyse. Pak takove problemy nenastanou a vse bude standardni.

    A dalsi takovou spravnou veci je to udelat vcas.

    To je vse :)

    • Upravený Miroslav Tiser středa 9. prosince 2020 13:47
    • Označen jako odpověď JRadek čtvrtek 21. ledna 2021 14:00
    středa 9. prosince 2020 13:45