EFS recovery policy contains invalid recovery certificate

Симптомите:
При опит за криптиране на произволен файл, използвайки EFS, получавате съобщение за грешка:

След преглед на System лога попадате на съобщението:

Event Type: Error
Event Source: EFS
Event Category: None
Event ID: 6028
Date:  05.02.2009
Time:  19:33:08
User:  N/A
Computer: XXXXXX
Description:
EFS recovery policy contains invalid recovery certificate.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

Причина:
Изтекъл или невалиден сертификат на Recovery агента във Вашия домейн. По подразбиране този тип сертификати се издават с валидност 3 години.

EFS (Encrypting File System) е услуга за криптиране на файлове, използваща асиметрични алгоритми за криптиране. Вградена е във версиите от Windows XP насам и работи на ниво файлова система. Файловете се криптират на база на потребителски сертификат и сертификат на Recovery агента. След края на процеса само притежателят на този сертификат и Recovery агента могат да прочетат съдържанието на криптираните файлове.

* Recovery агентът се използва с цел възстановяване на информация ако потребителят загуби своя сертификат.

Решение:
Трябва да се поднови сертификата на Recovery агента. Обикновено той се намира в:

[code]Default Domain Policy->Computer Configuration->Windows Settings->Security Settings->Public Key Policies->Encrypting File System[/code]

Желателно е преди това да съхраните стария сертификат. Това става, кято посочите акаунта и от контекстното меню изберете All Tasks->Export. Важно е да съхраните сертификата заедно с частния ключ (Private Key)

След това генерирайте нов сертификат. Ако имате Certification Authority направете го от там, ако ли не – използвайте инструмента cipher:

[code]cipher /r:c:\certs\efs_recAgent_Administrator_new[/code]

* Пътят и името на файла са примерни. Заместете ги ако желаете 🙂
** Сертификатът, генериран чрез cipher е самоподписан (Self Signed) и е с валидност 99 години

Резултатът е:

Изтрийте стария сертификат за Recovery Agent и добавете новия: щракнете върху Encrypting File System контейнера и от контекстното меню изберете “Add Data Recovery Agent”:

В Wizard-а изберете Browse и посочете новогенерирания .cer файл.

След това обновете груповите политики на произволен компютър (ако не искате да чакате 180 минути за автоматично обновяване). Криптирайте файл. Би трябвало да няма съобщения за грешки. За проверка дали се отразява новия сертификат отворете Properties на криптирания файл->Advanced->Details. Certificate Thumbprint на Recovery агента трябва да съвпада с този на новия сертификат.

 “Как отлетяха три години…” – ако и Вие имате домейн на такава “възраст” (бравос! 🙂 ) е добре да се замислите за обновяване на сертификата на Recovery агента 🙂 Въпреки, че е лесно да се създаде самоподписан сертификат за тази цел, аз лично препоръчвам да инсталирате и конфигурирате Certification Authority. По този начин лесно и централизирано ще се издават и обновяват сертификати с всевъзможно приложение: подписване на мейли, криптиране на файлове (EFS), IP Sec, мрежова автентикация и т.н.

* Използвани са снимкови материали от сайта: [ http://blogs.technet.com/askds/archive/2008/01/07/replacing-an-expired-dra-certificate.aspx ]

 

Допълнителна информация:

Leave a Reply

Your email address will not be published. Required fields are marked *

*