“A chave privada associada não pode ser encontrada” e a falha “certutil-repairstore” com o certificado do Windows e arquivos de chaves?

2

A máquina antiga não pode inicializar no Windows para executar uma exportação de certificados. O arquivo de certificados e o arquivo de chaves foram recuperados do sistema de arquivos e copiados. Cert é para acesso SSL do IE a um banco.

C: \ Usuários {usuário} \ AppData \ Roaming \ Microsoft \ SystemCertificates \ My \ Certificates

C: \ Usuários {usuário} \ AppData \ Roaming \ Microsoft \ SystemCertificates \ My \ Keys

Os certificados mostram e reivindicam ter chaves privadas em propriedades, mas a exportação mostra que a chave não pode ser encontrada e, ao usar o certificado para acessar um site do Banco, o handshake SSL falha.

Não tinha certeza, então coloque as chaves aqui também:

C: \ Users {usuário} \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21 -...

Usando o certutil, o contêiner de chave e o arquivo exato foram identificados. No entanto, o comando repairstore falha.

Além disso, esperando encontrar a localização de onde as chaves podem ser armazenadas, FindPrivateKey também foi usado, mas sem sorte:

"PrivateKey falhou pelo seguinte motivo: não é possível obter o nome do arquivo de chave privada"

O registro do sistema antigo também foi armazenado em backup. Tentando exportar certificado no prompt de comando do modo de reparo do Windows falhou também (certutil não encontrado).

Obrigado antecipadamente.

    
por outis nihil 29.05.2015 / 21:14

1 resposta

2

As chaves privadas armazenadas como arquivos no perfil móvel são criptografadas com uma "chave mestra" atualizada regularmente. A chave mestra é criptografada com a senha do usuário. Isso é descrito . Essa camada de criptografia é provavelmente o motivo das falhas de uso observadas: o Windows vê o arquivo, mas, ao tentar acessá-lo, não faz sentido de seu conteúdo porque a chave mestre usada não corresponde àquela que foi usada para criptografar as chaves.

Agora isso mudou ao longo dos anos, então talvez sua situação possa ser aproveitável, dependendo das versões exatas do Windows envolvidas. Consulte esta página para começar.

Supondo que não exista um método de recuperação aprovado pela Microsoft, além de tentar fazer a engenharia reversa do sistema de criptografia mal documentado, seus cursos de ação razoáveis incluem um dos itens a seguir:

  • Crie uma máquina virtual com a solução de VM de sua escolha (por exemplo, VirtualBox ), copie o disco completo do agora máquina morta, e inicializá-lo na VM. Isso está assumindo que o hardware da máquina está morto, mas o disco ainda está são. O Windows provavelmente vai reclamar sobre drivers e precisa ser inicializado no modo de recuperação ou algo assim. Quando a máquina estiver ativa, exporte o certificado e a chave privada como um arquivo PFX (PKCS # 12) e importe-o para outro local. Se a chave privada não foi marcada como "exportável", isso exigirá um pouco de programação , embora isso não seja tão difícil quanto parece à primeira vista.

  • Basta solicitar um novo certificado SSL. Este certificado é usado para autenticação ; nenhum dado é perdido quando a chave privada não está disponível. O banco pode emitir outro certificado que seja tão funcional quanto o anterior. Se eles cobrarem por isso, considere mudar para outro banco.

por 29.05.2015 / 21:52