引言：在系统管理中常会丢失数据。这就要求管理员采取各种方法找回，如使用系统自带的代理恢复功能。本文以Windows Server 2012为例，来说明具体的实现方法。

使用EFS代理恢复加密文件

使用EFS进行加密的原理并不复杂，在系统中生成一个加密密钥，然后该密钥通过用户的证书，对文件进行加密处理。所以用户的证书是很重要的，如果用户误删或者丢失证书，则加密的文件就无法打开了。

在域环境中，可以利用恢复代理功能，即使用户丢失了证书，也可以允许指定的用户来恢复加密文件。一般情况下，可以使用管理员账户，来管理恢复代理功能。当然，在域中需要配置好证书服务器。以域管理员身份登录系统，执行“mmc”命令，在控制台窗口中点击菜单“文件”→“添加/管理单元删除”项，在弹出窗口左侧列表中选择“证书”项，点击“添加”按钮，选择“我的用户账户”项，点击完成按钮，在控制台左侧点击“证书”→“个人”项，在其右键菜单上点击“所有任务”→“申请新证书”项，在向导界面中点击下一步按钮，选择“Active Directory注册策略”项，在下一步窗口（如图1）中选择“EFS故障恢复代理”项，点击注册按钮，当注册成功后，点击完成按钮，返回控制台窗口。

图1 注册代理恢复证书

图2 添加数据恢复证书

打开组策略窗口，在左侧打开“林”→“域”→“具体的域名”，在“Default Domain Policy”项的右键菜单上点击“编辑”项，在打开窗口左侧选择“计算机配置”→“策略”→“Windows设置”→“安全设置”→“公钥策略”→“加密文件系统”项。在默认情况下，系统已经指定了一个恢复代理，使用的自签名的证书，颁发者是管理员。将该恢复代理删除，在“加密文件系统”项的右键菜单上点击“创建数据恢复代理程序”项，添加所需的证书（如图2）。在 CMD 窗口中执行“gpupdate/force”命令，来刷新组策略。执行“rsop.msc”程序，在策略的结果集窗口左侧选择“计算机 配 置”→“Windows设置”→“安全设置”→“公钥策略”→“加密文件系统”项，在右侧可以看到上述申请的证书。这样就配置好了EFS代理服务功能。

实际上，在该加密文件属性窗口的常规面板中点击“高级”项，在“压缩或加密属性”栏中点击“详细信息”按钮，在弹出窗口中的“由恢复策略定义的此文件的恢复证书”栏中显示用来恢复加密文件的证书信息。当然，作为恢复代理人，需要将管理员证书导出备份，运行“certmgr.msc”程序，在证书管理器中选择“证书”→“个人”项，在其右键菜单上点击“所有任务”→“导出”项，之后按照提示选择“是，导出私钥”项，输入密码后，将证书备份为独立的“.pfx”文件。

使用密钥代理恢复用户证书

在活动目录证书中，可使用密钥代理来恢复用户的证书。在域控制器上安装有Active Directory证书服务，可以用来颁发证书。在实现恢复操作之前，需要申请密钥恢复代理证书。以域管理员身份登录系统，在证书颁发机构管理窗口左侧选择“具体的域名”→“证书模板”项，在右侧窗口的右键菜单中点击“新建”→“要颁发的证书模板”项，在启用证书模板窗口（如图3）中选择“密钥恢复代理”项，点击确定按钮保存配置信息，即可以管理员身份申请所需的证书。

图3 启用证书模板窗口

图4 查看证书序列号

图5 设置证书属性

运行“mmc”程序，在控制台窗口中点击菜单“文件”→“添加/管理单元删除”项，在弹出窗口左侧列表中选择“证书”项，点击“添加”按钮，选择“我的用户账户”项，点击完成按钮，在控制台左侧点击“证书”→“个人”项，在其右键菜单上点击“所有任务”→“申请新证书”项，在向导界面中点击下一步按钮，选择“Active Directory注册策略”项，在下一步窗口中选择“密钥恢复代理”项，点击注册按钮，执行证书申请操作。在获得的证书右侧点击“详细信息”项，在弹出面板中点击“查看证书”按钮，在其属性窗口中的“详细信息”面板中选择“序列号”项，可以查看其序列号信息（如图4）。

证书申请完毕后，在证书颁发机构窗口中，在左侧选择域名项目，在其右键菜单中点击“属性”项，在弹出窗口（如图5）中打开“恢复代理”项，在其中选择“存档密钥”项，因为我们只申请了一张代理证书，所以在“要恢复的代理数目”栏中设置为1，点击“添加”按钮，选择上述证书，将其添加到密钥恢复代理证书列表中，之后系统会提示需要重启Active Directory证书服务。当重启完毕后，在上述证书中的“状态”列中显示“未加载”信息，为此，可以在窗口左侧选择证书服务器名，在其右键菜单上分别点击“所有任务”→“停止服务”和“启动服务”项，手工启动证书服务，之后就可以看到证书已经变成了有效状态。

当恢复代理配置完成后，就可以来恢复用户证书了。例如，在“证书模板”项的右键菜单上点击“管理”项，在证书模板中选择“用户”项，在其右键菜单上点击“复制模板”项，在弹出窗口中点击确定按钮，在新模板的属性窗口中的“常规”面板中输入其显示名称，在“请求”面板（如图6）中的“目的”列表中选择“签名和加密”项，选择“包括使用者允许的对称算法”，“把使用者的加密私钥存档”，“使用高级对称算法将密钥发送给CA”等项，点击应用按钮保存配置信息。在证书模板窗口的右键菜单中点击“新建”→“要颁发的证书模板”项，在弹出窗口中选择“用户的副本”项，点击确定按钮，添加用户证书模板。

在控制台左侧点击“证书”→“个人”项，在其右键菜单上点击“所有任务”→“申请新证书”项，在向导界面中的“请求证书”窗口中选择“用户的副本”项，执行该证书的申请操作。之后在证书列表中可以看到该证书。如果管理员因为误操作，将该证书删除就可以使用密钥恢复代理功能，来恢复该证书。方法是在证书颁发机构窗口左侧选择“证书服务器名称”→“颁发的证书”项，在右侧窗口选择上述使用“用户”模板申请的证书，在属性窗口中的“详细信息”面板中复制其序列号。

在CMD窗口中执行“certutil–getkey 具 体的序列号 huifu.p7b”，注意序列号中的空格应该删除。之后将其保存到名为“huifu.p7b”的文件中，该文件名称可自行设置。执行“certutil–recoverkey huifu.p7b huifu.pfx”命令，将导出为带有私钥的证书文件“huifu.pfx”。在“输入新密码”栏中输入新的密码来保护该证书。当出现“CertUtil： RecoverKey 命令成功完成”的信息后，在上述选择“证书”→“个人”项，在其右键菜单上点击“所有任务”→“导入”项，按照操作向导的提示，选择上述“huifu.pfx”证书文件，输入密码。执行证书导入操作。这样就找回误删证书。

图6 设置新模板属性