4.2. 测试密钥存档和恢复设置

注意
较新的浏览器不支持浏览器的关键存档;对于第 1 步,应该替换这些 浏览器的 CRMF 生成客户端
测试密钥是否可以成功归档:
  1. 使用 CA 的 手动用户签名和加密证书注册表单注册 2 证书
  2. 提交请求。登录代理服务页面,并批准请求。
  3. 登录终端页面,并查看证书是否已颁发。在证书列表中,应该有两个带有连续序列号的新证书。
  4. 将证书导入 Web 浏览器。
  5. 确认密钥已被存档。在 KRA 的 agent services 页面中,选择 Show completed requests。如果密钥被成功存档,则会有有关该密钥的信息。如果没有显示密钥,请检查日志并更正问题。如果密钥已成功归档,请关闭浏览器窗口。
  6. 验证 密钥。发送已签名并加密的电子邮件。收到电子邮件后,请打开它并检查消息,以查看其是否已签名并加密。消息窗口右上角应当有一个安全图标,这表示消息已签名并加密。
  7. 删除证书。再次检查加密的电子邮件;邮件客户端应该无法解密邮件。
  8. 测试归档的密钥是否可以成功恢复:
    1. 打开 KRA 的代理服务页面,点 Recover Keys 链接。按照密钥所有者、序列号或公钥搜索密钥。如果密钥已成功存档,则会显示密钥信息。
    2. Recover
    3. 在出现的表单中,输入与私钥对应的 base-64 编码证书来恢复;使用 CA 获取此信息。如果通过提供 base-64 编码证书搜索归档的密钥,则不得在此处提供证书。
    4. 确保已选中 Async Recovery 复选框,以便允许在恢复期间关闭浏览器会话。
      提示
      async 恢复是执行密钥恢复的默认和推荐方法。如果要执行同步密钥恢复,浏览器窗口将无法关闭,且在恢复过程中无法停止 KRA。
    5. 根据代理方案,指定数量的代理必须授权这个密钥恢复。让代理搜索密钥恢复,然后批准启动的恢复。
    6. 当所有代理都授权恢复后,下一屏幕将请求一个密码来加密带有证书的 PKCS #12 文件。
    7. 下一屏幕返回一个下载 PKCS #12 blob 的链接,其中包含恢复的密钥对。按照链接,将 blob 保存到文件。
      重要
      在某些情况下,直接从 gcr-viewer 工具中的浏览器打开 PKCS #12 文件。要临时解决这个问题,请下载文件并在 gcr-viewer 中手动打开。
  9. 将密钥恢复到浏览器的数据库。将 .p12 文件导入浏览器和邮件客户端。
  10. 打开测试电子邮件。应再次显示该消息。