Administracin de archivo y

recuperacin de claves
Cuando los usuarios pierden sus claves privadas, cualquier informacin que se haya cifrado de forma persistente
con la correspondiente clave pblica deja de ser accesible. El uso del archivado y la recuperacin de claves ayuda
a proteger los datos cifrados frente a prdidas permanentes si, por ejemplo, es necesario volver a instalar un
sistema operativo, la cuenta de usuario para la que se emiti la clave de cifrado originalmente ya no est
disponible o ya no se tiene acceso a la clave. Para facilitar la proteccin de las claves privadas, las entidades de
certificacin (CA) de empresa de Microsoft pueden archivar las claves de un usuario en su base de datos al emitir
los certificados. La CA cifra y almacena estas claves.
Este archivo de claves privadas permite recuperar la clave posteriormente. El proceso de recuperacin de claves
requiere que un administrador recupere el certificado y la clave privada cifrados; a continuacin, un Key Recovery
Agent debe descifrarlos. Si se recibe una solicitud de recuperacin de claves firmada correctamente, el certificado
y la clave privada del usuario se proporcionan al solicitante. A continuacin, el solicitante usa la clave del modo
correspondiente o la transfiere de forma segura al usuario para su uso continuado. Siempre que no se comprometa
la seguridad de la clave privada, no es necesario reemplazar o renovar el certificado con otra clave.
El archivo y la recuperacin de claves no estn habilitados de forma predeterminada. Esto se debe a que muchas
organizaciones consideran que el almacenamiento de la clave privada en varias ubicaciones es un serio peligro
para la seguridad. Exigir a las organizaciones que tomen decisiones explcitas acerca de qu certificados se
incluyen en el archivo y la recuperacin de claves y quin puede recuperar las claves cifradas garantiza el uso del
archivo y la recuperacin de claves para aumentar la seguridad en lugar de reducirla.
Para completar este procedimiento, debe ser un administrador de CA. Para obtener ms informacin,
vea Implementacin de la administracin basada en funciones.
Para configurar el entorno para el archivo de claves de los certificados del Sistema de cifrado de
archivos (EFS)
1. Cree una cuenta de Key Recovery Agent o designe un usuario existente para que acte como Key Recovery
Agent.
2. Configure la plantilla de certificado de Key Recovery Agent e inscriba el Key Recovery Agent en un
certificado de Key Recovery Agent. Para obtener informacin, vea Identificacin de un agente de
recuperacin de claves (Key Recovery Agent).
3. Registre el nuevo Key Recovery Agent con la CA. Para obtener informacin, vea Habilitacin del archivo de
claves para una CA.
4. Configure una plantilla de certificado (por ejemplo, un EFS bsico) para el archivo de claves e inscriba a los
usuarios en el certificado nuevo. Si los usuarios ya tienen certificados EFS, asegrese de que el certificado
nuevo reemplace el certificado que no incluye el archivo de claves. Para obtener informacin,
vea Configuracin de una plantilla de certificado para el archivo de claves.
5. Inscriba a los usuarios en los certificados de cifrado basados en la plantilla de certificado nueva.
Los usuarios no estn protegidos por el archivado de claves hasta que se inscriben en un certificado con la
recuperacin de claves habilitada. Si ya tienen certificados idnticos emitidos antes de habilitar la
recuperacin de claves, los datos cifrados con estos certificados no estn cubiertos por el archivado de
claves.

Identificacin de un agente
de recuperacin de claves
(Key Recovery Agent)
Un agente de recuperacin de claves (Key Recovery Agent) es un usuario con autorizacin para recuperar un
certificado en nombre de un usuario final. Dado que el rol del Key Recovery Agent puede estar relacionado con
informacin confidencial, solo debe asignarse este rol a los usuarios con un alto grado de confianza.
Para identificar un Key Recovery Agent, debe configurar la plantilla de certificado de Key Recovery Agent para
permitir a la persona a la que se asign este rol inscribirse en un certificado de Key Recovery Agent.
El mnimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo
equivalente. Para obtener ms informacin, vea Implementacin de la administracin basada en funciones.
Para configurar una plantilla de certificado de Key Recovery Agent
1. Abra el complemento Plantillas de certificado.
2. En el rbol de consola, haga clic con el botn secundario en la plantilla de certificado Key Recovery
Agent.
3. Haga clic en Plantilla duplicada.
4. En el cuadro de dilogo Plantilla duplicada, haga clic en Windows 2003 Server Enterprise a menos
que todas las entidades de certificacin (CA) y equipos cliente estn ejecutando Windows Server 2008 R2,
Windows Server 2008, Windows 7 o Windows Vista.
5. En Plantilla, escriba un nombre para mostrar nuevo para la plantilla y, a continuacin, modifique cualquier
otra propiedad opcional segn sea necesario.
6. En la ficha Seguridad, haga clic en Agregar, escriba el nombre de los usuarios para los que desea que se
emitan los certificados de Key Recovery Agent y, a continuacin, haga clic en Aceptar.
7. En Nombre de grupos o usuarios, seleccione los nombres de usuario que acaba de agregar.
En Permisos, active las casillasLeer e Inscribir y, a continuacin, haga clic en Aceptar.

Nota
Para aumentar el nivel de seguridad y control del proceso de recuperacin de claves, no debe
usar la inscripcin automtica para los certificados de Key Recovery Agent.
Para que el nuevo Key Recovery Agent se pueda inscribir para un certificado basado en la nueva plantilla de
certificado creada, dicha plantilla se debe agregar primero a la CA. Para obtener informacin acerca de cmo
completar este procedimiento, vea Agregar una plantilla de certificado a una entidad de certificacin
(http://go.microsoft.com/fwlink/?LinkId=147110).
Si el certificado se configur con permisos de lectura e inscripcin, el nuevo Key Recovery Agent debe usar el
complemento Certificados y el Asistente para importacin de certificados para obtener un certificado de
recuperacin de clave. Si la plantilla de certificado se configur con permisos de inscripcin automtica, el
certificado se emitir automticamente la prxima vez que el usuario inicie sesin en la red.

Habilitacin del archivo de

claves para una CA
Para que un Key Recovery Agent pueda usar un certificado de recuperacin de clave, el Key Recovery Agent debe
estar inscrito en el certificado de recuperacin de clave y registrado como agente de recuperacin para la entidad
de certificacin (CA).
Para completar este procedimiento, debe ser un administrador de CA. Para obtener ms informacin,
vea Implementacin de la administracin basada en funciones.
Para habilitar el archivo de claves para una CA
1.

Abra el complemento Entidad de certificacin.

2.

En el rbol de consola, haga clic en el nombre de la CA.

3.

En el men Accin, haga clic en Propiedades.

4.

Haga clic en la ficha Agentes de recuperacin y, a continuacin, haga clic en Archivar la clave.

5.

En Nmero de agentes de recuperacin que se utilizarn, escriba el nmero de agentes de

recuperacin de claves (Key Recovery Agent) que se emplearn para cifrar la clave archivada.
El Nmero de agentes de recuperacin que se utilizarn debe estar comprendido entre uno y el
nmero de certificados de Key Recovery Agent configurados.

6.

Haga clic en Agregar. A continuacin, en Seleccin de Key Recovery Agent, haga clic en los
certificados de recuperacin de clave y haga clic en Aceptar.

7.

Los certificados deben aparecer en la lista Certificados de Key Recovery Agent, aunque su estado se
incluye como No cargado.

8.

Haga clic en Aceptar o Aplicar. Cuando se le pida que reinicie la CA, haga clic en S. Una vez reiniciada la
CA, el estado de los certificados se debe incluir como Vlido.

La lista de Certificados de Key Recovery Agent puede incluir los valores de estado y las causas de la siguiente
tabla.

Estado

Causa

Expirado

La fecha de expiracin del certificado ha pasado y el certificado no se

puede usar.

No vlido

El certificado no tiene un formato correcto o genera un error al cargarse.

No encontrado

El certificado se configur pero la CA no lo encuentra.

No cargado

El certificado se configur pero la CA an no lo ha cargado.

Revocado

El certificado se ha revocado y no se puede usar.

Que no es de
confianza

La CA no confa en la CA raz para este certificado.

Vlido

La CA ha cargado el certificado y funciona con normalidad.

Si el valor de Nmero de agentes de recuperacin que se utilizarn es superior al nmero de certificados de

agente de recuperacin con el estado Vlido, las solicitudes de inscripcin que requieren un archivo de claves
generan un error.

Configuracin de una
plantilla de certificado para
el archivo de claves
El proceso de archivado de claves se realiza al emitir un certificado. Por consiguiente, se debe modificar una
plantilla de certificado para archivar las claves y poder emitir los certificados basados en dicha plantilla.
El uso del archivado de claves se recomienda especialmente con la plantilla del Sistema de cifrado de archivos
(EFS) bsico para proteger a los usuarios frente a la prdida de datos, aunque tambin resulta til cuando se aplica
a otros tipos de certificados.
Para poder realizar este procedimiento, es necesario, como mnimo, pertenecer a Admins. del
dominio, Administradores de empresas o a otro grupo equivalente. Para obtener ms informacin,
vea Implementacin de la administracin basada en funciones.
Para configurar una plantilla de certificado para el archivo y la recuperacin de claves
1. Abra el complemento Plantillas de certificado.
2. En el panel de detalles, haga clic con el botn secundario en la plantilla de certificado que desea cambiar
y, a continuacin, haga clic en Plantilla duplicada.

3.

4.
5.
6.

En el cuadro de dilogo Plantilla duplicada, haga clic en Windows Server 2003 Enterprise a menos
que todas las entidades de certificacin (CA) y equipos cliente estn ejecutando Windows Server 2008 R2,
Windows Server 2008, Windows 7 o Windows Vista.
En Plantilla, escriba un nombre para mostrar nuevo para la plantilla y, a continuacin, modifique cualquier
otra propiedad opcional segn sea necesario.
En la ficha Seguridad, haga clic en Agregar, escriba el nombre de los usuarios o grupos para los que
desea que se emitan los certificados y, a continuacin, haga clic en Aceptar.
En Nombre de grupos o usuarios, seleccione los nombres de los usuarios o grupos que acaba de
agregar. En Permisos, active las casillas Leer e Inscribir y, si desea emitir el certificado
automticamente, active tambin la casilla Inscripcin automtica.

Nota
Para implementar la inscripcin automtica, estas tres casillas deben estar seleccionadas.
7.
8.

En la ficha Tratamiento de la solicitud, active la casilla Archivar clave privada de cifrado de sujeto.
Si los usuarios ya tienen certificados EFS no configurados para el archivo y la recuperacin de claves, haga
clic en la fichaPlantillas reemplazadas, haga clic en Agregar y, a continuacin, haga clic en el nombre
de la plantilla que desee reemplazar.
9. Haga clic en Aceptar.
Los usuarios no estn protegidos por el archivado de claves hasta que se inscriben en un certificado con la
recuperacin de claves habilitada. Si ya tienen certificados idnticos emitidos antes de habilitar la recuperacin de
claves, no pueden disponer del archivado de claves. Los clientes deben volver a inscribirse para recibir un
certificado basado en una plantilla modificada si ya tienen un certificado vlido basado en la plantilla antigua

Recuperacin de claves
perdidas
Los usuarios que pierdan una clave privada no pueden recuperar los datos cifrados con dicha clave. Si se recupera
una clave y se restaura en el equipo cliente, se pueden usar y descifrar los datos.
El proceso de recuperacin completo incluye tres procedimientos:

Obtener el nmero de serie del certificado archivado.

Realizar la recuperacin de clave.

Restaurar la clave en el equipo cliente.

El mnimo requerido para completar este procedimiento es la pertenencia a Admins. del dominio o un grupo
equivalente. Para obtener ms informacin, vea Implementacin de la administracin basada en funciones.
Para obtener el nmero de serie de un certificado archivado
1. Inicie sesin en el equipo que hospeda la entidad de certificacin (CA).

2.
3.

Abra el complemento Entidad de certificacin.

En el rbol de consola, haga clic en el nombre de la CA y, a continuacin haga clic en Certificados
emitidos.
4. En el men Ver, haga clic en Agregar o quitar columnas.
5. En Columnas disponibles, haga clic en Clave archivada y, a continuacin, haga clic en Agregar.
Clave archivada debeaparecer ahora en Columnas mostradas.
6. Haga clic en Aceptar y, a continuacin, en el panel de detalles, desplcese a la derecha para confirmar
que el ltima certificado emitido para el usuario tiene el valor S en la columna Clave archivada.
7. Haga doble clic en el certificado.
8. Haga clic en la ficha Detalles. Registre el nmero de serie del certificado. (No incluya espacios entre los
pares de dgitos). Necesitar esta informacin para completar el procedimiento de recuperacin.
El nmero de serie ser una cadena hexadecimal con 20 caracteres de longitud. El nmero de serie de la
clave privada es el mismo que el nmero de serie del certificado. En este procedimiento, el nmero de
serie se llama serialnumber.
9. Haga clic en Aceptar y cierre el complemento Entidad de certificacin.
10. En un smbolo del sistema, escriba:

11. Certutil -getkey <serialnumber> outputblob

Nota
La seccin de informacin del destinatario del resultado de este comando identifica los
nmeros de serie de los certificados de Key Recovery Agent cuyas claves privadas son
necesarias para descifrar el blob y recuperar la clave.
12. En un smbolo del sistema, escriba:

13. dir outputblob

Nota
Si el archivo outputblob no existe, es posible que haya escrito incorrectamente el nmero de
serie para el certificado. El archivo outputblob es un archivo PKCS #7 que contiene los
certificados de Key Recovery Agent y el certificado y la cadena de usuario. El contenido
interno es un archivo PKCS #7 cifrado que contiene la clave privada (cifrada para los
certificados de Key Recovery Agent).
El administrador del dominio puede transferir el archivo de salida al Key Recovery Agent, quien realiza el
procedimiento de recuperacin.
Debe ser un usuario con un certificado de Key Recovery Agent registrado con la CA para completar este
procedimiento. El Key Recovery Agent se debe almacenar en el almacn de certificados personal del Key Recovery
Agent del equipo en que se va a realizar el procedimiento de recuperacin de claves. Para obtener ms
informacin, vea Implementacin de la administracin basada en funciones.
Para recuperar el certificado archivado
1. En un smbolo del sistema, escriba:

2. Certutil -recoverkey outputblob <filename>.pfx

3.

Cuando se le pida, escriba una contrasea nueva. Cuando se le pida, escriba la contrasea nueva por
segunda vez para confirmarla.
4. Copie el archivo .pfx guardado en el equipo donde se va a realizar la recuperacin.
5. Cierre todas las ventanas y cierre la sesin en el equipo.
Una vez recuperada la clave, se debe importar al equipo en que estn almacenados los datos.

Debe ser el cliente para el que se emite el certificado o un administrador del equipo cliente para completar este
procedimiento. Para obtener ms informacin, vea Implementacin de la administracin basada en funciones.
Para importar la clave recuperada
1. Abra el complemento Certificados para el usuario para el que se emiti el certificado.
2. En el rbol de consola, haga clic con el botn secundario en Personal, haga clic en Todas las tareas y, a
continuacin, haga clic en Importar.
3. En el Asistente para importacin de certificados, haga clic en Siguiente.
4. En Nombre de archivo, escriba la ruta de acceso y el nombre del archivo .pfx y, a continuacin, haga clic
en Siguiente.
5. En Contrasea, escriba la contrasea especificada en el procedimiento anterior y haga clic en Siguiente.
6. En la pgina Almacn de certificados, haga clic en Seleccionar automticamente el almacn de
certificados en base al tipo de certificado y, a continuacin, haga clic en Siguiente.
7. En la pgina Finalizacin del Asistente para importacin de certificados, haga clic en Finalizar.
8. Para comprobar si el certificado recuperado se ha importado correctamente, en el rbol de consola, haga
doble clic enPersonal y,a continuacin, haga clic en Certificados.
9. Haga doble clic en el certificado. Haga clic en la ficha Detalles y compruebe si el nmero de serie coincide
con el original.

Consideraciones adicionales

Para abrir un smbolo del sistema, haga clic en Inicio, seleccione Todos los programas, haga clic
en Accesorios y, a continuacin, haga clic en Smbolo del sistema.